返回
IDS产品将如何“进化”

IDS产品将如何“进化”

ID:38082369

大小:117.50 KB

页数:5页

时间:2019-05-28

IDS产品将如何“进化”_第1页
IDS产品将如何“进化”_第2页
IDS产品将如何“进化”_第3页
IDS产品将如何“进化”_第4页
IDS产品将如何“进化”_第5页
资源描述:

《IDS产品将如何“进化”》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、问题提出:入侵检测(IDS)是用来发现黑客入侵的特殊安全设备,早期的时候很简单,就是一个日志分析器,大海捞针一样从日志里提取黑客的来访记录;后来黑客学乖了,临走时把自己的“污点”记录统统抹掉;记录没了,日志分析就很难再发现黑客了(当然一些菜鸟级黑客还没有这个意识与能力)。现在,日志分析成为内部人是否有违规行为的审计工具,面对堆积如山的日志信息,你可以想象审计人员的工作是如何辛苦,揪出一个“坏蛋”,如同拣到一个金元宝一样“高兴”。为了发现黑客,IDS开始收集“原始”的网络流量,自己进行分析(流量是实时的,黑客也没有办法不产生流量)。从此,IDS产品开始“

2、分家”,在计算机内收集网卡流量进行分析的称为主机IDS;从网络交换机上,或者直接从物理链路上“复制”流量的称为网络IDS;分析技术都是把原始数据还原为用户访问过程,分析访问者的行为是否异常,发现黑客工具的指纹与特征,技术上称为应用协议解析(标准的协议如HTTP、FTP、SMTP、Telnet等,新流行的应用协议如P2P、MSN等)。检测与躲避技术相较量的关键是IDS的识别能力,IDS厂商收集黑客“指纹特征”与“行为模式”,把它们放在攻击数据库内,并不断地升级;看见貌似的就告警,“宁可报错,不可放过”,从近十年以来的攻防拉锯战中看,攻击数据库越来越庞大,

3、但黑客变换与伪装速度更为快些,黑客开始使用程序自动生成无数的新“特征”,快到每天新出现几十万个,不仅可以迷惑检测者,而且让防护者还没来得及升级就落伍了…识别变得越来越困难,有些安全厂家推出所谓的主动防御,就是在对攻击者识别的同时,先对自己的应用进行过滤,自己的“家底”是很容易清理的,不是我这里记录允许的,就一定是外来的、可疑的,先隔离起来再说。面对互联网上层出不穷的新创意,主动防御保护自己的那一些老家底也有些“力不从心”。入侵检测产品在核心技术上出现了“瓶颈”,在易用性上出现“海量事件危机”,这个产品下一步究竟应该如何进化呢,是自然淘汰,还是“变异”后

4、重生?我们对付黑客的办法:从战略思想上来说,我们对付黑客的办法就两种:一是加装“防盗门”,把一些“菜鸟”级攻击挡在门外边,我们常见的FW、IPS、UTM都是这种方式,这种办法对付高级黑客显然是不行的,连门都进不来,还谈什么高手吗?二是部署“摄像头”,监视“所有人”的行为,发现有靠近“金库”的就警觉起来,符合“通缉者”特征的就“抓起来”,这就是我们说的IDS。这两种方式还有一个技术上的差异:防盗门是必需拦在网络路径上的,所谓“一夫当关”,发现攻击者立即阻断,阻止其进入大门,但串联设备对性能要求很高,网络流量在指数级逐年递增,再说大门方式很难持续观察一个访

5、问者;摄像头是旁路监控的,并联处理,可以长时间跟踪连接进行分析,不影响业务本身,发现问题及时报警。虽然在两种措施中都有对黑客特征的检测识别,显然后者更适合于长时间地跟踪与关联性分析,适合对行为的监视,可以用来对付高级黑客,当然也需要产品使用者自身的能力强一些。然而近几年,随着黑客攻击技术的进步,网络上需要分析的信息逐渐发生变化,主要有下面原因:Ø 黑客采用特殊信息通道(未知协议)去指挥他的“僵尸网络”,或选择多级跳板,再以其他人身份去探测与入侵,对这种方式探测用标准协议解析显然是不够的;Ø P2P技术流行,通过标准协议承载私有协议的半加密连接非常普遍,

6、让“防盗门”的作用越来越小,安全对于摄像头监控的依赖性越来越大;Ø 通过“制造”虚假同类流量,掩盖自己的真实目的。比如满大街的人都突然穿一种服装,或去做同一件事情,即使这个事情是违法的,但在法不责众的大环境下,也很难注意到真正的黑客是哪个。随着这种环境的出现,网络上检测分析的设备种类增多了,市场上影响较大的如异常流量监测、蠕虫木马监测、DDOS攻击监测等。其中蠕虫监测是互联网运营商非常关注的,作为网络承载商,不能直接阻断用户的数据,但对网络木马、蠕虫、病毒的动态监控,是为高端用户提供安全保障的基础。这些新变化的共同点是:监控大都是采用旁路复制流量的方式

7、,后台进行数据分析。IDS的进化方向:要生存,就要进化,物竞天择是自然规律。IDS也不例外,总地来说,IDS产品的进化需求是来自两个方向:1、从技术角度看:网络内部监控分析类产品需要整合,因为这些产品都是复制流量后进行分析,只是分析的方式与监控的目标不同而已,如异常流量、蠕虫木马、以及审计,这有些象北京道路上安装的若干摄像头,有查看交通流量的,有查车辆违章的,有平安城市监测安全的…大家分属不同部门,分开管理,重复建设,整合是必然的。整合的意思有两层:一是把这些产品集成到一起,用一个产品解决所有问题,大家需要的基础信息都一样,随着处理器能力的提高、多核硬

8、件结构的产品化,性能上是不必担心的。二是把物理采集功能整合到一起,从原来的产品中分离出来,只进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。