|
影響IDS應(yīng)用的關(guān)鍵問題是誤報(bào)和漏報(bào)�,那么,從技術(shù)上講�,該如何攻克這兩大難題呢?本文的技術(shù)分析沒有考慮網(wǎng)絡(luò)流量��,因?yàn)�,關(guān)于IDS系統(tǒng)的流量性能測(cè)評(píng)是當(dāng)前爭(zhēng)議較大的地方,不同流量中的IDS引擎表現(xiàn)出來的丟包率�、誤報(bào)、漏報(bào)等差異巨大����。本文僅從影響IDS漏報(bào)和誤報(bào)的關(guān)鍵指標(biāo)入手講解技術(shù)發(fā)展。
為了解決IDS應(yīng)用中關(guān)鍵的誤報(bào)和漏報(bào)問題�����,首先要了解決定誤報(bào)和漏報(bào)的指標(biāo)�����。有兩個(gè)方面:一個(gè)是引擎和手法; 一個(gè)是管理能力。引擎的作用毋庸置疑�����,是“專家”和“高手”云集和追求的戰(zhàn)場(chǎng)���;手法是整個(gè)系統(tǒng)的知識(shí)庫(kù)��,機(jī)器的“智慧”所在��;引擎和手法是密不可分的�,通常引擎的結(jié)構(gòu)決定了手法的特性和能力��,甚至檢測(cè)性能和精度�����。管理能力是IDS系統(tǒng)和最終用戶的界面����,許許多多的誤報(bào)率����、個(gè)性化��、友好性�����、易管理性�、可擴(kuò)展性等都和它直接相關(guān)��。
一����、引擎和手法
1.引擎
IDS核心技術(shù)至今已經(jīng)歷三代:
(1) 第一代技術(shù)是主機(jī)日志分析����、模式匹配。這階段的IDS基本上都是實(shí)驗(yàn)室系統(tǒng)����,如IDES、DIDS�����、NSM等。
�。2) 第二代技術(shù)出現(xiàn)在上世紀(jì)90年代中期,技術(shù)突破包括網(wǎng)絡(luò)數(shù)據(jù)包截獲����、主機(jī)網(wǎng)絡(luò)數(shù)據(jù)和審計(jì)數(shù)據(jù)分析、基于網(wǎng)絡(luò)的IDS(NIDS)和基于主機(jī)的IDS(HIDS)的明確分工和合作���。代表性產(chǎn)品有早期的ISS RealSecure(v6.0之前)�����、Cisco(1998年收購(gòu)Wheel Group獲得)���、Snort(2000年開發(fā)代碼并免費(fèi))等。目前國(guó)內(nèi)絕大多數(shù)廠家沿用的是Snort核心�。
(3) 第三代技術(shù)出現(xiàn)在2000年前后����,代表性的突破有協(xié)議分析、行為異常分析����。協(xié)議分析的出現(xiàn)極大減小了計(jì)算量,減少了誤報(bào)率�����。專家預(yù)計(jì)協(xié)議分析技術(shù)的誤報(bào)率是傳統(tǒng)模式匹配的1/4左右�����。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代IDS系統(tǒng)識(shí)別未知攻擊的能力�����。代表性產(chǎn)品有NetworkICE(2001年并入ISS)����、安氏LinkTrust NetworkDefender(v6.6)、NFR(第二版)等����。
此外,還有非常多的新型IDS在努力爭(zhēng)取獲得市場(chǎng)的認(rèn)可���。
2.手法
手法是引擎的知識(shí)庫(kù)����,它可以是某個(gè)簡(jiǎn)單的模式,也可以是一個(gè)非常復(fù)雜的協(xié)議分析規(guī)則�。簡(jiǎn)單模式主要用在第二代引擎中,復(fù)雜協(xié)議分析規(guī)則是第三代引擎的特征�。
許多廠家喜歡講自己的IDS產(chǎn)品包含多少個(gè)“手法”(掃描器也使用這個(gè)名詞)。關(guān)于手法的定義也是各個(gè)廠家之間容易引起爭(zhēng)論的地方���。手法體現(xiàn)了IDS系統(tǒng)作者對(duì)某個(gè)攻擊的理解和認(rèn)識(shí)��,指導(dǎo)引擎去檢測(cè)這種攻擊�。
手法也是IDS系統(tǒng)和防火墻等其他安全產(chǎn)品差異較大的地方���。每個(gè)廠家必須緊跟攻擊技術(shù)的發(fā)展和最新的安全弱點(diǎn)����,將相應(yīng)的“手法”及時(shí)提供給自己的客戶���,這樣才能保證系統(tǒng)能夠在業(yè)務(wù)流中檢測(cè)出攻擊�。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
