入侵檢測(cè)下的網(wǎng)絡(luò)安全管窺
前言:本站為你精心整理了入侵檢測(cè)下的網(wǎng)絡(luò)安全管窺范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢(xún)。
根據(jù)國(guó)外權(quán)威機(jī)構(gòu)近來(lái)的入侵檢測(cè)產(chǎn)品評(píng)測(cè)報(bào)告,目前主流的入侵檢測(cè)系統(tǒng)大都存在以下幾個(gè)問(wèn)題:
(1)沒(méi)有太多能力阻斷入侵。對(duì)于入侵檢測(cè)系統(tǒng),其功能有入侵發(fā)現(xiàn)以及連接阻斷兩個(gè)方面。實(shí)時(shí)保護(hù)誤操作、外部攻擊以及內(nèi)部攻擊。但是,識(shí)別入侵行為依然是單方面的工作重點(diǎn)。網(wǎng)絡(luò)安全效果的提升,在黑客入侵識(shí)別的同時(shí),也要具備入侵阻斷的能力。
(2)較高的漏報(bào)率和較高的誤報(bào)率。在高速交換的網(wǎng)絡(luò)中,入侵檢測(cè)系統(tǒng)不能很好地檢測(cè)所有的數(shù)據(jù)包。分析的準(zhǔn)確率不高,經(jīng)常產(chǎn)生漏報(bào)。檢測(cè)規(guī)則的更新落后于攻擊手段的更新;新的攻擊沒(méi)有相應(yīng)的檢測(cè)規(guī)則,經(jīng)常產(chǎn)生誤報(bào)。
(3)IDS之間的互操作能力弱。在快速更新發(fā)展的網(wǎng)絡(luò)技術(shù)現(xiàn)實(shí)下,網(wǎng)絡(luò)攻擊方式也日新月異,具有代表性的攻擊形式就是分布式協(xié)同攻擊。該行為主要在攻擊者操作下,一臺(tái)主機(jī)受到難以計(jì)量的服務(wù)器攻擊,具有很強(qiáng)的隱蔽性與破壞性。雖然在各網(wǎng)絡(luò)部分安裝了各異的IDS,但入侵檢測(cè)體系結(jié)構(gòu)是在較多的IDS上被運(yùn)用。保護(hù)方式為單獨(dú)的主機(jī)保護(hù),信息交換無(wú)法實(shí)現(xiàn),攻擊發(fā)源難以發(fā)現(xiàn),這樣,攻擊者常常有恃無(wú)恐。所以,協(xié)作式、分布式應(yīng)該是體系結(jié)構(gòu)改革方向,構(gòu)建IDS間操作協(xié)作性。
2解決措施
第一,為使漏報(bào)率與誤報(bào)率迅速下降,不妨在預(yù)先分配的系統(tǒng)內(nèi)部空間地址直接傳輸網(wǎng)絡(luò)數(shù)據(jù)報(bào)文,阻止CPU運(yùn)作。另外,在檢測(cè)程序中的應(yīng)用程序可接收系統(tǒng)內(nèi)核儲(chǔ)存數(shù)據(jù)報(bào)文的映射。此內(nèi)存塊接受檢測(cè)程序的訪(fǎng)問(wèn),避免用戶(hù)內(nèi)存空間被系統(tǒng)內(nèi)核拷貝,系統(tǒng)調(diào)用開(kāi)銷(xiāo)將大大減少。確保準(zhǔn)確性檢測(cè),要對(duì)當(dāng)前的網(wǎng)絡(luò)自動(dòng)獲取信息做狀態(tài)考慮,配置IDS要參考變化的系統(tǒng)狀態(tài),讓當(dāng)前網(wǎng)絡(luò)狀態(tài)下的IDS模式匹配發(fā)生關(guān)聯(lián)。管理者在對(duì)網(wǎng)絡(luò)狀況掌握后,應(yīng)該對(duì)非開(kāi)放端口中的連接企圖看做是數(shù)據(jù)的異常,并在日志中記錄以及時(shí)刻跟蹤。做好攻擊預(yù)防,確保信息足夠安全。第二,聯(lián)合防火墻與侵入檢測(cè)系統(tǒng),做好IDS的策略安全工作,對(duì)對(duì)象防火墻密匙與地址要響應(yīng)指定,連接防火墻由IDS發(fā)起,在連接正常之后,防火墻可接收到新產(chǎn)生的IDS安全事件,并相應(yīng)對(duì)安全措施做好調(diào)整,構(gòu)建動(dòng)態(tài)的防護(hù)體系,做到入侵行為的切斷從源頭上把握。如此,防火墻反應(yīng)能力得到了提升,IDS阻斷效果大大提升。如:上海廣電應(yīng)確信有限公司作為專(zhuān)業(yè)的網(wǎng)絡(luò)安全設(shè)備廠(chǎng)商,入侵檢測(cè)網(wǎng)絡(luò)安全方面,采用了高速網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù),結(jié)合獨(dú)特的硬件和軟件優(yōu)化,提高了檢測(cè)分析速度,同時(shí)以模式匹配技術(shù)為主,結(jié)合異常發(fā)現(xiàn)技術(shù),采用基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng),并使用先進(jìn)的“基于上下文分析”技術(shù),提供了更準(zhǔn)確的可互動(dòng)的入侵檢測(cè)行為并報(bào)警。這里所說(shuō)的入侵行為涵蓋范圍很廣,不僅包括黑客攻擊,還包括各種網(wǎng)絡(luò)異常行為,如內(nèi)部網(wǎng)絡(luò)機(jī)密信息泄漏和非法使用網(wǎng)絡(luò)資源等等。
3技術(shù)展望
入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化。由于入侵檢測(cè)系統(tǒng)的市場(chǎng)在近幾年中飛速發(fā)展,許多公司也投入到這一領(lǐng)域上來(lái)。但就目前而言,入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn),但標(biāo)準(zhǔn)化是入侵檢測(cè)系統(tǒng)發(fā)展的必然方向。與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻、VPN、PKIX和安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù),入侵檢測(cè)系統(tǒng)能提供完整的網(wǎng)絡(luò)安全保障。網(wǎng)絡(luò)安全已經(jīng)上升到了社會(huì)安全、政治安全以及經(jīng)濟(jì)安全領(lǐng)域,管理也需要從多個(gè)層次出現(xiàn),以資產(chǎn)完整性作為保護(hù)的最終目標(biāo),盡量的將損失控制在最小范圍,實(shí)現(xiàn)最大化的投資回報(bào)率,保證各項(xiàng)業(yè)務(wù)不受干擾。網(wǎng)絡(luò)安全的解決是不可能依靠單一的產(chǎn)品完全、有效解決,要走合作協(xié)作各安全產(chǎn)品的道路,幫助用戶(hù)建立一個(gè)動(dòng)態(tài)的縱深防御體系。
4結(jié)語(yǔ)
網(wǎng)絡(luò)安全是網(wǎng)絡(luò)普及下用戶(hù)最關(guān)心的問(wèn)題。從思想認(rèn)識(shí)上,網(wǎng)絡(luò)用戶(hù)認(rèn)識(shí)到了防火墻的重要性。但是,對(duì)于入侵檢測(cè)系統(tǒng),他們則支支吾吾,道不清。可以說(shuō),安全警衛(wèi)就是防火墻的重要職責(zé),在對(duì)規(guī)則預(yù)先設(shè)定后,匹配網(wǎng)絡(luò)中進(jìn)出數(shù)據(jù),和規(guī)則相符的允許通過(guò),截然相反則組織。可以說(shuō),防火墻的作用在于控制訪(fǎng)問(wèn),是第一道網(wǎng)絡(luò)安全閘門(mén)。
作者:張影單位:中國(guó)電信西安分公司
