网络入侵检测系统的研究和发展
4.入侵检测及网络安全的发展方向
4.1入侵检测技术的发展方向
IDS虽然存在一些缺陷,但换个角度我们看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地确保安全。这样,网络设备和IDS设备联动就应运而生了。
IDS和网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,由此即产生了入侵防御系统(IPS)的概念。
简单地理解,可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,即时响应,主动切断连接。他的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,其功能示意如图2所示(参见附录图2)。
除了IPS,也有厂商提出了IMS(入侵管理系统)。IMS是个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。
4.2网络安全的发展方向
4.2.1检测和访问控制技术将共存共荣
以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。
(1)防火墙是网关形式,需求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的需求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输需求是非常高的。
(2)而IDS是个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对性能的追求主要在:抓包不能漏、分析不能错,而不是微秒级的快速结果。IDS由于较高的技术特征,所以其计算复杂度是非常高的。
从这个意义上来讲,检测和访问控制技术将在一个较长的时期内更加关注其自身的特点,各自提高性能和可靠性,既不会由一方取代另一方,也不会简单的形成融合技术。
4.2.2检测和访问控制的协同是必然趋势