欢迎来到天天文库
浏览记录
ID:20885704
大小:64.00 KB
页数:7页
时间:2018-10-17
《几种ids产品评价》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、几种IDS产品评价~教育资源库 随着企业和组织对网络安全的日益重视,网络IDS产品以其强大的检测攻击的能力已经成为必要的防火墙、防病毒产品后又一个安全组件设备。从检测方式看IDS产品可分为基于规则(基于误用)和基于异常。基于规则的IDS技术相对成熟,检测准确性可以做的很高,但致命弱点是和反病毒产品一样只能检测已知攻击。基于异常的检测技术还不太成熟,检测准确性不太高,但其最大的优势是通过分析异常检测某些未知攻击,是当前理论界和工业界的研究热点[1],随着研究的深入在不久的将来很可能逐步取得突破(实际上以协议分析技
2、术为基础协议异常分析已经相当成熟了)。 从IDS检测引擎的实现上主要有两种,一种是简单的ngrep类型的引擎,这种检测引擎对数据包作基本的IP/TCP/UDP/ICMP等三、四层协议解码后就结合数据包数据区的内容匹配来检测攻击,这种实现方式的优点是实现简单,加入规则容易,在规则总数较少的情况下效率较高。ngrep类型的引擎缺点也非常明显,由于只对数据包内容做生硬的匹配无法抵抗多种的变形攻击,非常容易受到愚弄而被绕过,也因为数据匹配的范围很大,在规则总数大量增加的情况下引擎的效率会极剧下降。为了减少ngrep类检
3、测引擎与生俱来的缺陷,当今主流IDS网络探测器普遍使用了高层协议分析技术,也就是加入了对第七层应用层协议的解码和状态分析,这样做虽然很大程度上加大了检测引擎的复杂性,但极大的提高了检测的准确性并能检测检测到某些协议异常的未知攻击,由于匹配区间的减小,在大量加载规则的情况下也不会造成性能太大下降,因此基于协议分析的引擎比单纯的ngrep类型的检测要高级的多。 目前市面上充斥了大量的IDS产品,都号称自己是优秀的产品,拥有强大的检测能力,是否真如厂商所称的那样呢?当然你可以读各种各样的厂商或第三方的产品测试报告来试
4、图了解个大概,但IDS产品的测试非常复杂,涉及到各种技术和环境的影响,因为IDS技术从整体上还不成熟,所以应该说当前大多数的IDS评测也是极不完善的,从测试方法上就存在很多先天的缺陷,其结果并不能真实反映产品实际环境下的能力,有时候评测结果甚至完全是误导性的。 现在主流的IDS产品是采用完全基于规则的或者基于规则与基于异常结合的检测方式。如果厂商允许用户查看或定制IDS的规则集,那么我们可以从此侧面大致了解清楚IDS探测器的实际能力,因为IDS规则的描述方式及提供的检测选项直接反映了IDS探测器对检测内容及方法
5、的支持能力。 下面我们来分析几个公开了规则集的IDS产品(Snort1.8.6、DragonIDS6.0、NFRNID-100、天阗IDS5.31)的规则定义,由此来从一定程度上评价IDS探测器的检测能力。 Snort ===== Snort是最出名的开放源码的IDS系统,它的规则集[2]是一些大致以应用层协议分类的.rules文本文件,比如dos.rules文件存放拒绝服务攻击类的规则;ftp.rules文件存放FTP服务相关的规则;tel.rules文件存放FTP服务相关的规则。规则文件中每行定义一种
6、攻击检测,例子如下: alerttcp$EXTERNAL_any->$HOME_21(msg:FTPSITECPsg、resp、react、session、logto、tag等;第四类是选项是对某些选项的修饰,比如从属于content的nocase、offset、depth、regex等。 总的来说,Snort的规则相当有特色,简单高效,体现在规则选项概念清楚明确,选项之间没什么从属关系,规则所提供了丰富的选项用以匹配各种包特征,通过对选项加以组合基本上就能清楚地描述出基于单包的攻击,绝大多数规则只需要
7、一行代码就行。 Snort设计之初是一个ngrep类型的IDS,合适检测基于单包的攻击,是在基本TCP/IP解码的基础上对数据包的数据区进行匹配,对规则选项也不允许复杂的逻辑组合,这种粗糙的检测方式存在很高的漏报误报而且极容易受到反IDS手段(比如变形shellcode)的愚弄。新的高层协议分析技术可以很大程度地避免此类问题,提高检测准确率。Snort逐渐加入一些高层协议(当前支持最常用的HTTP和TEL)的部分解码,比如在下面的规则使用了较新版的Snort引擎提供的uricontent选项用来匹配HTTPUR
8、I请求中的文件名。 alerttcp$EXTERNAL_any->$HTTP_SERVERS$HTTP_PORTS(msg:pt;uricontent:/hsx.cgi;content:../../;content:%00;flow:to_server,established;reference:bugtraq,2314;reference:cve,CAN-200
此文档下载收益归作者所有