|
影響IDS應(yīng)用的關(guān)鍵問題是誤報和漏報,那么����,從技術(shù)上講,該如何攻克這兩大難題呢��?本文的技術(shù)分析沒有考慮網(wǎng)絡(luò)流量��,因為���,關(guān)于IDS系統(tǒng)的流量性能測評是當前爭議較大的地方�,不同流量中的IDS引擎表現(xiàn)出來的丟包率��、誤報����、漏報等差異巨大。本文僅從影響IDS漏報和誤報的關(guān)鍵指標入手講解技術(shù)發(fā)展����。
為了解決IDS應(yīng)用中關(guān)鍵的誤報和漏報問題,首先要了解決定誤報和漏報的指標���。有兩個方面:一個是引擎和手法; 一個是管理能力�。引擎的作用毋庸置疑����,是“專家”和“高手”云集和追求的戰(zhàn)場;手法是整個系統(tǒng)的知識庫����,機器的“智慧”所在;引擎和手法是密不可分的���,通常引擎的結(jié)構(gòu)決定了手法的特性和能力��,甚至檢測性能和精度�����。管理能力是IDS系統(tǒng)和最終用戶的界面�,許許多多的誤報率、個性化���、友好性���、易管理性、可擴展性等都和它直接相關(guān)�����。
一����、引擎和手法
1.引擎
IDS核心技術(shù)至今已經(jīng)歷三代:
(1) 第一代技術(shù)是主機日志分析、模式匹配��。這階段的IDS基本上都是實驗室系統(tǒng)����,如IDES��、DIDS�����、NSM等。
(2) 第二代技術(shù)出現(xiàn)在上世紀90年代中期�����,技術(shù)突破包括網(wǎng)絡(luò)數(shù)據(jù)包截獲��、主機網(wǎng)絡(luò)數(shù)據(jù)和審計數(shù)據(jù)分析���、基于網(wǎng)絡(luò)的IDS(NIDS)和基于主機的IDS(HIDS)的明確分工和合作��。代表性產(chǎn)品有早期的ISS RealSecure(v6.0之前)�、Cisco(1998年收購Wheel Group獲得)����、Snort(2000年開發(fā)代碼并免費)等。目前國內(nèi)絕大多數(shù)廠家沿用的是Snort核心����。
(3) 第三代技術(shù)出現(xiàn)在2000年前后��,代表性的突破有協(xié)議分析��、行為異常分析��。協(xié)議分析的出現(xiàn)極大減小了計算量�,減少了誤報率��。專家預(yù)計協(xié)議分析技術(shù)的誤報率是傳統(tǒng)模式匹配的1/4左右��。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代IDS系統(tǒng)識別未知攻擊的能力�。代表性產(chǎn)品有NetworkICE(2001年并入ISS)、安氏LinkTrust NetworkDefender(v6.6)����、NFR(第二版)等。
此外�����,還有非常多的新型IDS在努力爭取獲得市場的認可�。
2.手法
手法是引擎的知識庫,它可以是某個簡單的模式�����,也可以是一個非常復(fù)雜的協(xié)議分析規(guī)則。簡單模式主要用在第二代引擎中���,復(fù)雜協(xié)議分析規(guī)則是第三代引擎的特征����。
許多廠家喜歡講自己的IDS產(chǎn)品包含多少個“手法”(掃描器也使用這個名詞)�����。關(guān)于手法的定義也是各個廠家之間容易引起爭論的地方��。手法體現(xiàn)了IDS系統(tǒng)作者對某個攻擊的理解和認識�����,指導(dǎo)引擎去檢測這種攻擊��。
手法也是IDS系統(tǒng)和防火墻等其他安全產(chǎn)品差異較大的地方�。每個廠家必須緊跟攻擊技術(shù)的發(fā)展和最新的安全弱點����,將相應(yīng)的“手法”及時提供給自己的客戶,這樣才能保證系統(tǒng)能夠在業(yè)務(wù)流中檢測出攻擊。
IDS系統(tǒng)遭受的許多批評都源于手法庫更新的及時性方面��。一般來說��,從發(fā)現(xiàn)一個弱點����、廠家研究并提煉出“手法”,更新系統(tǒng)的“手法”庫����,這個過程通常在數(shù)天到數(shù)個星期之間。而互聯(lián)網(wǎng)上攻擊程序的傳播卻以分鐘和小時計�。這個時間差給用戶網(wǎng)絡(luò)留下了脆弱空隙,也成為各個廠家較量的主要戰(zhàn)場����。
為此,許多專家提出了“開放手法”的概念�����,將更多的靈活性和自主權(quán)授予用戶����。只有用戶自己才最了解自己的業(yè)務(wù)系統(tǒng)���,也只有這樣,用戶才可以更好地微調(diào)自己的“手法庫”結(jié)構(gòu)��,來減少誤報���,增加手法庫的“智能”性�����。但是���,可惜的是許多IDS系統(tǒng)給用戶只提供了“開/關(guān)”控制,你或者打開它�,忍受它的誤報���,或者關(guān)閉它����,讓自己的投資閑置����。
二����、管理
管理對于IDS系統(tǒng)來說非常重要����,它工作在檢測層次之上,對檢測(各級傳感器)獲得的事件信息進行處理��。優(yōu)秀的IDS管理系統(tǒng)不僅限于將檢測獲得的事件簡單呈現(xiàn)在控制臺上�,而是能夠進行各種先進的數(shù)據(jù)處理、濾除噪音��、鑒別誤報�����、獲得超越檢測層次的信息等�����。這里�,數(shù)據(jù)挖掘、相關(guān)����、神經(jīng)網(wǎng)絡(luò)�����、人工智能��、歸一化��、數(shù)據(jù)分類��、決策支持系統(tǒng)等各種技術(shù)紛紛獲得應(yīng)用的嘗試����。
1.安全管理的功能
典型的安全管理要實現(xiàn)六個功能�,它們按照先后順序分別是:
(1)數(shù)據(jù)收集和確認整理。包括大量數(shù)據(jù)的提取和初步的有效性確認��。
(2)歸一化����。將收集來的海量數(shù)據(jù)處理成為系統(tǒng)設(shè)計的統(tǒng)一格式��,為后面的分析進行準備��。
(3)按照資產(chǎn)分類����。將收集來的海量數(shù)據(jù)按照所屬的信息資產(chǎn)進行分類�。能夠?qū)崿F(xiàn)這一步的前提條件是企業(yè)網(wǎng)已經(jīng)進行過信息資產(chǎn)分類�����。這一點很重要�,可以大幅度提高數(shù)據(jù)的可利用性、減小誤報引起的人力浪費��,將管理員寶貴的精力放到關(guān)鍵的信息資產(chǎn)上去����。當前專門的信息安全顧問服務(wù)可以幫助企業(yè)進行信息資產(chǎn)分類。
(4)與風險評估(VA)系統(tǒng)輸出的弱點信息進行關(guān)聯(lián)處理���。鑒別有效���、無效、誤報����,并按照弱點和資產(chǎn)對海量事件數(shù)據(jù)進行優(yōu)先級排序。這一步和上一步的順序可以交換�。
(5)分析�����。一般來說�����,這一步體現(xiàn)的是廠家的看家本領(lǐng)�,也是安全管理產(chǎn)品的關(guān)鍵所在���。
(6)響應(yīng)���。響應(yīng)一般都會包括各種告警、日志����、實時阻斷等。
2.與其他系統(tǒng)的關(guān)聯(lián)性
伴隨著第三代IDS產(chǎn)品的另一標志性特色就是它們強大的管理能力�����,具有海量數(shù)據(jù)融合和關(guān)聯(lián)性分析能力��,支持大規(guī)模網(wǎng)絡(luò)�����、層次化結(jié)構(gòu)����。其中,與風險評估系統(tǒng)的關(guān)聯(lián)是當前IDS技術(shù)發(fā)展的一個重要方向�����,是減少誤報的一種強有力手段���。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
