|
影響IDS應(yīng)用的關(guān)鍵問題是誤報和漏報���,那么�����,從技術(shù)上講�����,該如何攻克這兩大難題呢���?本文的技術(shù)分析沒有考慮網(wǎng)絡(luò)流量����,因?yàn)�����,關(guān)于IDS系統(tǒng)的流量性能測評是當(dāng)前爭議較大的地方�,不同流量中的IDS引擎表現(xiàn)出來的丟包率、誤報�、漏報等差異巨大����。本文僅從影響IDS漏報和誤報的關(guān)鍵指標(biāo)入手講解技術(shù)發(fā)展。
為了解決IDS應(yīng)用中關(guān)鍵的誤報和漏報問題��,首先要了解決定誤報和漏報的指標(biāo)�。有兩個方面:一個是引擎和手法; 一個是管理能力。引擎的作用毋庸置疑���,是“專家”和“高手”云集和追求的戰(zhàn)場�;手法是整個系統(tǒng)的知識庫��,機(jī)器的“智慧”所在;引擎和手法是密不可分的���,通常引擎的結(jié)構(gòu)決定了手法的特性和能力�����,甚至檢測性能和精度���。管理能力是IDS系統(tǒng)和最終用戶的界面,許許多多的誤報率����、個性化、友好性��、易管理性��、可擴(kuò)展性等都和它直接相關(guān)��。
一�、引擎和手法
1.引擎
IDS核心技術(shù)至今已經(jīng)歷三代:
(1) 第一代技術(shù)是主機(jī)日志分析、模式匹配���。這階段的IDS基本上都是實(shí)驗(yàn)室系統(tǒng)�����,如IDES����、DIDS、NSM等�。
(2) 第二代技術(shù)出現(xiàn)在上世紀(jì)90年代中期,技術(shù)突破包括網(wǎng)絡(luò)數(shù)據(jù)包截獲����、主機(jī)網(wǎng)絡(luò)數(shù)據(jù)和審計數(shù)據(jù)分析、基于網(wǎng)絡(luò)的IDS(NIDS)和基于主機(jī)的IDS(HIDS)的明確分工和合作��。代表性產(chǎn)品有早期的ISS RealSecure(v6.0之前)�����、Cisco(1998年收購Wheel Group獲得)����、Snort(2000年開發(fā)代碼并免費(fèi))等���。目前國內(nèi)絕大多數(shù)廠家沿用的是Snort核心���。
(3) 第三代技術(shù)出現(xiàn)在2000年前后����,代表性的突破有協(xié)議分析����、行為異常分析。協(xié)議分析的出現(xiàn)極大減小了計算量�,減少了誤報率。專家預(yù)計協(xié)議分析技術(shù)的誤報率是傳統(tǒng)模式匹配的1/4左右���。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代IDS系統(tǒng)識別未知攻擊的能力���。代表性產(chǎn)品有NetworkICE(2001年并入ISS)、安氏LinkTrust NetworkDefender(v6.6)��、NFR(第二版)等���。
此外�,還有非常多的新型IDS在努力爭取獲得市場的認(rèn)可��。
2.手法
手法是引擎的知識庫,它可以是某個簡單的模式����,也可以是一個非常復(fù)雜的協(xié)議分析規(guī)則。簡單模式主要用在第二代引擎中����,復(fù)雜協(xié)議分析規(guī)則是第三代引擎的特征。
許多廠家喜歡講自己的IDS產(chǎn)品包含多少個“手法”(掃描器也使用這個名詞)�。關(guān)于手法的定義也是各個廠家之間容易引起爭論的地方。手法體現(xiàn)了IDS系統(tǒng)作者對某個攻擊的理解和認(rèn)識��,指導(dǎo)引擎去檢測這種攻擊�����。
手法也是IDS系統(tǒng)和防火墻等其他安全產(chǎn)品差異較大的地方�。每個廠家必須緊跟攻擊技術(shù)的發(fā)展和最新的安全弱點(diǎn),將相應(yīng)的“手法”及時提供給自己的客戶�,這樣才能保證系統(tǒng)能夠在業(yè)務(wù)流中檢測出攻擊。
IDS系統(tǒng)遭受的許多批評都源于手法庫更新的及時性方面�����。一般來說�����,從發(fā)現(xiàn)一個弱點(diǎn)�、廠家研究并提煉出“手法”,更新系統(tǒng)的“手法”庫�����,這個過程通常在數(shù)天到數(shù)個星期之間���。而互聯(lián)網(wǎng)上攻擊程序的傳播卻以分鐘和小時計�����。這個時間差給用戶網(wǎng)絡(luò)留下了脆弱空隙���,也成為各個廠家較量的主要戰(zhàn)場。
為此�����,許多專家提出了“開放手法”的概念�,將更多的靈活性和自主權(quán)授予用戶。只有用戶自己才最了解自己的業(yè)務(wù)系統(tǒng)���,也只有這樣�,用戶才可以更好地微調(diào)自己的“手法庫”結(jié)構(gòu),來減少誤報�,增加手法庫的“智能”性。但是�����,可惜的是許多IDS系統(tǒng)給用戶只提供了“開/關(guān)”控制�,你或者打開它,忍受它的誤報��,或者關(guān)閉它���,讓自己的投資閑置����。
二����、管理
管理對于IDS系統(tǒng)來說非常重要,它工作在檢測層次之上����,對檢測(各級傳感器)獲得的事件信息進(jìn)行處理。優(yōu)秀的IDS管理系統(tǒng)不僅限于將檢測獲得的事件簡單呈現(xiàn)在控制臺上�����,而是能夠進(jìn)行各種先進(jìn)的數(shù)據(jù)處理���、濾除噪音�、鑒別誤報��、獲得超越檢測層次的信息等�����。這里�����,數(shù)據(jù)挖掘�����、相關(guān)�、神經(jīng)網(wǎng)絡(luò)、人工智能�、歸一化���、數(shù)據(jù)分類、決策支持系統(tǒng)等各種技術(shù)紛紛獲得應(yīng)用的嘗試��。
1.安全管理的功能
典型的安全管理要實(shí)現(xiàn)六個功能��,它們按照先后順序分別是:
(1)數(shù)據(jù)收集和確認(rèn)整理��。包括大量數(shù)據(jù)的提取和初步的有效性確認(rèn)���。
(2)歸一化�。將收集來的海量數(shù)據(jù)處理成為系統(tǒng)設(shè)計的統(tǒng)一格式����,為后面的分析進(jìn)行準(zhǔn)備。
(3)按照資產(chǎn)分類����。將收集來的海量數(shù)據(jù)按照所屬的信息資產(chǎn)進(jìn)行分類。能夠?qū)崿F(xiàn)這一步的前提條件是企業(yè)網(wǎng)已經(jīng)進(jìn)行過信息資產(chǎn)分類��。這一點(diǎn)很重要����,可以大幅度提高數(shù)據(jù)的可利用性�����、減小誤報引起的人力浪費(fèi),將管理員寶貴的精力放到關(guān)鍵的信息資產(chǎn)上去�����。當(dāng)前專門的信息安全顧問服務(wù)可以幫助企業(yè)進(jìn)行信息資產(chǎn)分類�����。
(4)與風(fēng)險評估(VA)系統(tǒng)輸出的弱點(diǎn)信息進(jìn)行關(guān)聯(lián)處理�����。鑒別有效�、無效、誤報����,并按照弱點(diǎn)和資產(chǎn)對海量事件數(shù)據(jù)進(jìn)行優(yōu)先級排序。這一步和上一步的順序可以交換���。
(5)分析�����。一般來說��,這一步體現(xiàn)的是廠家的看家本領(lǐng)����,也是安全管理產(chǎn)品的關(guān)鍵所在。
(6)響應(yīng)�。響應(yīng)一般都會包括各種告警、日志���、實(shí)時阻斷等����。
2.與其他系統(tǒng)的關(guān)聯(lián)性
伴隨著第三代IDS產(chǎn)品的另一標(biāo)志性特色就是它們強(qiáng)大的管理能力���,具有海量數(shù)據(jù)融合和關(guān)聯(lián)性分析能力��,支持大規(guī)模網(wǎng)絡(luò)�����、層次化結(jié)構(gòu)�����。其中���,與風(fēng)險評估系統(tǒng)的關(guān)聯(lián)是當(dāng)前IDS技術(shù)發(fā)展的一個重要方向��,是減少誤報的一種強(qiáng)有力手段。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
