隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要的安全防范手段的防火墻，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻及其有益的補(bǔ)充，IDS（入侵檢測(cè)系統(tǒng)）能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　一、入侵檢測(cè)系統(tǒng)（IDS）詮釋

　　IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)有敵人或者惡意用戶試圖通過(guò)Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，IDS能夠檢測(cè)出來(lái)，并進(jìn)行報(bào)警，通知網(wǎng)絡(luò)該采取措施進(jìn)行響應(yīng)。

　　在本質(zhì)上，入侵檢測(cè)系統(tǒng)是一種典型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段（通常只有一個(gè)監(jiān)聽(tīng)端口），無(wú)須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無(wú)聲息地收集它所關(guān)心的報(bào)文即可。入侵檢測(cè)/響應(yīng)流程如圖1所示。

圖1：入侵檢測(cè)/響應(yīng)流程圖

　　目前，IDS分析及檢測(cè)入侵階段一般通過(guò)以下幾種技術(shù)手段進(jìn)行分析：特征庫(kù)匹配、基于統(tǒng)計(jì)的分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

　　二、IDS存在的問(wèn)題

　　1．誤/漏報(bào)率高

　　IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。而這些檢測(cè)方式都存在缺陷。比如異常檢測(cè)通常采用統(tǒng)計(jì)方法來(lái)進(jìn)行檢測(cè)，而統(tǒng)計(jì)方法中的閾值難以有效確定，太小的值會(huì)產(chǎn)生大量的誤報(bào)，太大的值又會(huì)產(chǎn)生大量的漏報(bào)。而在協(xié)議分析的檢測(cè)方式中，一般的IDS只簡(jiǎn)單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào)，如果考慮支持盡量多的協(xié)議類(lèi)型分析，網(wǎng)絡(luò)的成本將無(wú)法承受。

　　2．沒(méi)有主動(dòng)防御能力

　　IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新。

　　3．缺乏準(zhǔn)確定位和處理機(jī)制

　　IDS僅能識(shí)別IP地址，無(wú)法定位IP地址，不能識(shí)別數(shù)據(jù)來(lái)源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同時(shí)會(huì)影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。

　　4．性能普遍不足

　　現(xiàn)在市場(chǎng)上的IDS產(chǎn)品大多采用的是特征檢測(cè)技術(shù)，這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS攻擊。

　　三、IDS技術(shù)的發(fā)展

　　IDS雖然存在一些缺陷，但換個(gè)角度我們看到，各種相關(guān)網(wǎng)絡(luò)安全的黑客和病毒都是依賴網(wǎng)絡(luò)平臺(tái)進(jìn)行的，而如果在網(wǎng)絡(luò)平臺(tái)上就能切斷黑客和病毒的傳播途徑，那么就能更好地保證安全。這樣，網(wǎng)絡(luò)設(shè)備與IDS設(shè)備聯(lián)動(dòng)就應(yīng)運(yùn)而生了。

　　IDS與網(wǎng)絡(luò)交換設(shè)備聯(lián)動(dòng)，是指交換機(jī)或防火墻在運(yùn)行的過(guò)程中，將各種數(shù)據(jù)流的信息上報(bào)給安全設(shè)備，IDS系統(tǒng)可根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測(cè)，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候，進(jìn)行有針對(duì)性的動(dòng)作，并將這些對(duì)安全事件反應(yīng)的動(dòng)作發(fā)送到交換機(jī)或防火墻上，由交換機(jī)或防火墻來(lái)實(shí)現(xiàn)精確端口的關(guān)閉和斷開(kāi)，由此即產(chǎn)生了入侵防御系統(tǒng)（IPS）的概念。

　　簡(jiǎn)單地理解，可認(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)。IPS技術(shù)在IDS監(jiān)測(cè)的功能上又增加了主動(dòng)響應(yīng)的功能，力求做到一旦發(fā)現(xiàn)有攻擊行為，立即響應(yīng)，主動(dòng)切斷連接。它的部署方式不像IDS并聯(lián)在網(wǎng)絡(luò)中，而是以串聯(lián)的方式接入網(wǎng)絡(luò)中，其功能示意如圖2所示。

圖2：IPS功能示意圖

　　除了IPS，也有廠商提出了IMS（入侵管理系統(tǒng)）。IMS是一個(gè)過(guò)程，在行為未發(fā)生前要考慮網(wǎng)絡(luò)中有什么漏洞，判斷有可能會(huì)形成什么攻擊行為和面臨的入侵危險(xiǎn)；在行為發(fā)生時(shí)或即將發(fā)生時(shí)，不僅要檢測(cè)出入侵行為，還要主動(dòng)阻斷，終止入侵行為；在入侵行為發(fā)生后，還要深層次分析入侵行為，通過(guò)關(guān)聯(lián)分析，來(lái)判斷是否還會(huì)出現(xiàn)下一個(gè)攻擊行為。

　　四、網(wǎng)絡(luò)安全的發(fā)展方向

　　1．檢測(cè)和訪問(wèn)控制技術(shù)將共存共榮

　　以IDS為代表的檢測(cè)技術(shù)和以防火墻為代表的訪問(wèn)控制技術(shù)從根本上來(lái)說(shuō)是兩種截然不同的技術(shù)行為。

　?。?）防火墻是網(wǎng)關(guān)形式，要求高性能和高可靠性。因此防火墻注重吞吐率、延時(shí)、HA等方面的要求。防火墻最主要的特征應(yīng)當(dāng)是通（傳輸）和斷（阻隔）兩個(gè)功能，所以其傳輸要求是非常高的。

　　（2）而IDS是一個(gè)以檢測(cè)和發(fā)現(xiàn)為特征的技術(shù)行為，其追求的是漏報(bào)率和誤報(bào)率的降低。其對(duì)性能的追求主要在：抓包不能漏、分析不能錯(cuò)，而不是微秒級(jí)的快速結(jié)果。IDS由于較高的技術(shù)特征，所以其計(jì)算復(fù)雜度是非常高的。

　　從這個(gè)意義上來(lái)講，檢測(cè)和訪問(wèn)控制技術(shù)將在一個(gè)較長(zhǎng)的時(shí)期內(nèi)更加關(guān)注其自身的特點(diǎn)，各自提高性能和可靠性，既不會(huì)由一方取代另一方，也不會(huì)簡(jiǎn)單的形成融合技術(shù)。

　　2．檢測(cè)和訪問(wèn)控制的協(xié)同是必然趨勢(shì)

　　雖然檢測(cè)技術(shù)和訪問(wèn)控制技術(shù)存在著一定程度的差異，但是兩個(gè)技術(shù)的協(xié)同工作和在應(yīng)用上的融合又是一個(gè)迫切的要求和必然趨勢(shì)。

　　安全產(chǎn)品的融合、協(xié)同、集中管理是網(wǎng)絡(luò)安全的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案，需要細(xì)力度的安全控制手段。中小企業(yè)一邊希望能夠獲得切實(shí)的安全保障，一邊又不可能對(duì)信息安全有太多的投入。從早期的主動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)到入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)，再到IPS和IMS，形成了一個(gè)不斷完善的解決安全需求的過(guò)程。

　　3．如何進(jìn)行技術(shù)融合

　　“集中檢測(cè)，分布控制”這個(gè)觀點(diǎn)對(duì)于如何看待檢測(cè)技術(shù)和訪問(wèn)控制技術(shù)的走向是非常重要的。一個(gè)準(zhǔn)確度不能完全令人滿意的IDS，經(jīng)過(guò)人工的分析可以變得準(zhǔn)確。同樣，經(jīng)過(guò)大規(guī)模的IDS部署后的集中分析以及和其他檢測(cè)類(lèi)技術(shù)關(guān)聯(lián)分析，可以獲得更加精確的結(jié)果。這樣局部的事件檢測(cè)就向全局性的事件檢測(cè)方向發(fā)展。根據(jù)全局性的檢測(cè)結(jié)果就可以進(jìn)行全局性的響應(yīng)和控制。

　　全局性的檢測(cè)可以有效解決檢測(cè)的準(zhǔn)確率問(wèn)題，但是同時(shí)帶來(lái)的就是檢測(cè)過(guò)程變長(zhǎng)，局部速度不夠快的問(wèn)題。所以，面對(duì)一些局部事件和可以準(zhǔn)確地判斷出的問(wèn)題，阻斷后帶來(lái)的負(fù)面效應(yīng)相對(duì)較少，針對(duì)其檢測(cè)可以比較快速的時(shí)候，IPS就是一個(gè)比較好的方案了。

　　4．人仍是網(wǎng)絡(luò)安全管理的決定因素

　　不可否認(rèn)的是，人的因素仍然是網(wǎng)絡(luò)安全管理的決定因素，網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)也并不是系統(tǒng)漏洞，而是人的漏洞。安全問(wèn)題的核心問(wèn)題就是人的問(wèn)題。因?yàn)橐磺胁话踩囊蛩厝珌?lái)自人（或者說(shuō)一部分人）。那么我們與信息網(wǎng)絡(luò)安全威脅的斗爭(zhēng)，實(shí)際上是與人（或者說(shuō)一部分人）的斗爭(zhēng)，這樣性質(zhì)的斗爭(zhēng)，自不待言，注定了它的艱巨性、復(fù)雜性和持久性。

　　因此，單純依靠安全技術(shù)和軟、硬件產(chǎn)品解決網(wǎng)絡(luò)安全問(wèn)題的想法是不現(xiàn)實(shí)也是不明智的，提高企業(yè)的網(wǎng)絡(luò)安全意識(shí)，加大整體防范網(wǎng)絡(luò)入侵和攻擊的能力，并在此基礎(chǔ)上形成一支高素質(zhì)的網(wǎng)絡(luò)安全管理專(zhuān)業(yè)隊(duì)伍，及時(shí)準(zhǔn)確地應(yīng)對(duì)各式各樣的網(wǎng)絡(luò)安全事件，才能從根本上解決我們面臨的威脅和困擾。

最新評(píng)論