常见网络安全设备:IDS(入侵检测系统)

2023-03-05 10:01:30 浏览数 (1)

来源:网络技术联盟站 链接:https://www.wljslmz.cn/17693.html

定义

入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。

入侵检测系统通常包含3个必要的功能组件:信息来源分析引擎响应组件

工作原理

1、信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自:系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。

2、信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,是通过模式匹配统计分析完整性分析这三种手段进行分析的。

前两种用于实时入侵检测,完整性分析用于事后分析。

3、告警与响应

根据入侵性质和类型,做出相应的告警与响应。

主要功能

它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。

  1. 实时监测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;
  2. 安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据
  3. 主动响应:主动切断连接或与防火墙联动,调用其他程序处理。

主要类型

  1. 基于主机的入侵检测系统(HIDS):基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。

这种检测方式的优点主要有:

  • 信息更详细
  • 误报率要低
  • 部署灵活。

这种方式的缺点主要有:

  • 会降低应用系统的性能;
  • 依赖于服务器原有的日志与监视能力;
  • 代价较大;
  • 不能对网络进行监测;
  • 需安装多个针对不同系统的检测系统。
  1. 基于网络的入侵检测系统(NIDS):基于网络的入侵检测方式是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。

这种检测技术的优点主要有:

  • 能够检测那些来自网络的攻击和超过授权的非法访问
  • 不需要改变服务器等主机的配置,也不会影响主机性能;
  • 风险低;
  • 配置简单。

其缺点主要是:

  • 成本高、检测范围受局限;
  • 大量计算,影响系统性能;
  • 大量分析数据流,影响系统性能;
  • 对加密的会话过程处理较难;
  • 网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;
  • 无法检测加密的封包;对于直接对主机的入侵无法检测出。

主动被动

入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。绝大多数 IDS 系统都是被动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。

使用方式

作为防火墙后的第二道防线,适于以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

局限性

  1. 误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些IDS产品会对用户不关心事件的进行误报。
  2. 产品适应能力差:传统的IDS产品在开发时没有考虑特定网络环境下的需求,适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整,以适应不同环境的需求。
  3. 大型网络管理能力差:首先,要确保新的产品体系结构能够支持数以百计的IDS传感器;其次,要能够处理传感器产生的告警事件;最后还要解决攻击特征库的建立,配置以及更新问题。
  4. 缺少防御功能:大多数IDS产品缺乏主动防御功能。
  5. 处理性能差:目前的百兆、千兆IDS产品性能指标与实际要求还存在很大的差距。

0 人点赞