IDS系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等 。业界总结的通用IDS系统的主要功能包括:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动等 。
另外,一些业内的主流厂商,如Cisco、Checkpoint、ISS以及华为3Com等,他们一般采用基于模式匹配、异常情况或者完整性分析的判断方法 。
对于基于模式匹配的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息 。检测主要判别这类特征是否在所收集到的数据中出现,此方法非常类似杀毒软件;而基于异常情况的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象 。这种检测方式的核心在于如何定义所谓的“正常”情况;而完整性分析则关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效 。
从IDS到IPS
前面说过了,即便本着用户的呼声,IDS已经流露出了少许“该出手时就出手”的势头,但这毕竟是后话 。为了解决IDS旁路侦听模式的弊端,IPS的概念被提了出来----一种采用在线模式的,可以对所有攻击采取适时行动的入侵防御系统 。
在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,IPS的出现恰恰带有时势造英雄的味道 。
无疑,IPS倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报 。IPS?是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中 。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉 。
当然,这样做也是有条件的,IPS必须能够支持众多的攻击方式与协议,因为只有这样才能从网络中进行准确地判断 。采访人员曾在去年汇总过国内外主流IPS厂商的性能分析报告,基本上符合国内企业用户需求的IPS产品都要支持如:HTTP、DNS、FTP、DOS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用,如MSN、Skype等 。
另外,国内的企业用户在选购IPS的时候,还必须了解一点:由于IPS采用了在线模式,因此其本身对于网络的性能影响要比IDS大很多 。因此用户必须考虑打开IPS后对于自身和网络的影响 。比如IPS的性能不能是在“裸奔”或仅打开少量过滤器的前提下取得的,也不能是单纯的测试流量,如单纯的UDP流量或单一的包长度 。国内用户应当结合自身情况判断,例如企业部署了VoIP的应用,那就必须去评价它的时延抖动问题,而且要在语音数据流中混杂一般数据模拟实际情况,否则又会是一场灾难 。
在采访人员的采访中,一些厂商也建议国内用户也可以分析IPS在负载情况下的各种效能参数(包括文章后面附表中的参数指标),像对随机端口发送的UDP流量、不考虑处理延时情况下的HTTP最大压力流量、考虑处理延时情况下的HTTP最大压力流量等 。
对于国内用户担心的另一个问题----由于IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大 。采访人员在采访中得知,随着技术的进一步发展,这两年来主流IPS厂家的产品在精度控制上有了长足的进步 。目前避免误报漏报主要参考两方面技术:一种是并行处理检测;另一种是协议重组 。
推荐阅读
- 浅析三种不同的“防Ping”方法
- 罗汉果的功效与作用 罗汉果有什么功效
- 枇杷的功效与作用 枇杷有什么功效
- 盐水鹅做法与配方
- 醋酸缎面与真丝的区别
- 沙特阿拉伯和阿联酋的区别 沙特与阿联酋区别
- 在乐视体育里参与竞猜投注具体操作
- 商品倾销有哪几种类型
- 上肉是指猪的哪个部位
- 小米“666”集卡赢小米6怎么参与 小米“666”集卡赢小米6参与地址分享