20090309入侵检测系统的过去现在和未来

20090309入侵检测系统的过去现在和未来

ID:38582209

大小:138.83 KB

页数:4页

时间:2019-06-15

20090309入侵检测系统的过去现在和未来_第1页
20090309入侵检测系统的过去现在和未来_第2页
20090309入侵检测系统的过去现在和未来_第3页
20090309入侵检测系统的过去现在和未来_第4页
资源描述:

《20090309入侵检测系统的过去现在和未来》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、入侵检测系统的过去现在和未来入侵检测系统(IntrusionDetectionSystem,IDS)作为最常见的网络安全产品之一,已经得到了非常广泛的应用。但近年来随着入侵防御系统(IntrusionPreventionSystem,IPS)的异军突起,不断有人认为IPS是IDS的升级版本,甚至还有认为IDS没有用的言论出现。本文试从入侵检测系统的起源、成长和未来发展的几个角度出发进行分析,来看看到底入侵检测系统是“已死”还是“有发展”。【入侵检测系统的起源】一般意义上,业界将JamesP.Anderson在1980年发布的那篇《ComputerSecurity

2、ThreatMonitoringandSurveillance》作为入侵检测概念的最早起源,在这篇文章里,不仅将威胁分为了外部渗透、内部渗透和不法行为三种,还创造性的提出了将审计技术应用到对威胁的检测上来。没错,虽然不论厂商还是用户,都是先开发/拥有入侵检测产品,而后再考虑审计产品,但从单纯的技术上来说,入侵检测技术的确是起源于审计技术,所不同的是,入侵检测更关注“坏”的事件,而审计产品则更多关注“好”事件。审计数据源模式匹配器轮廓特征引擎异常检测器策略规则警告/报告产生器但这只是一个概念的起步,一直到1986年DorothyDenning等人才在其论文AnIn

3、trusionDetectionModel中给出了一个入侵检测的抽象模型IDES(入侵检测专家系统),并在1988年开发出一个IDES系统:在这个模型中,可以很清楚的看出Denning的二维检测思想:基于专家系统的特征检测以及基于统计异常模型的异常检测。这一点也奠定了入侵检测技术领域的两大方向:滥用检测(MisuseDetection)和异常检测(AnomalyDetection)在这个模型的基础上,1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM(NetworkSecurityMonitor),在这个实物模型中,第一次采用了网络实

4、时数据流而非历史存档信息作为检测数据的来源,这为入侵检测系统的产品化做出了巨大的贡献:再也不需要将各式各样的审计信息转化为统一格式后才能分析了,入侵检测开始逐步脱离“审计”的影子。谁也没有想到,过了不到10年的时间,审计产品反过来开始学习入侵检测产品的这种分析实时数据流的模式,这是另外一个话题,且按下不表。【入侵检测系统的成长】上世纪90年代中期,商业入侵检测产品初现端倪,1994年出现了第一台入侵检测产品:ASIM。而到了1997年,Cisco将网络入侵检测集成到其路由器设备中,同年,ISS推出Realsecure,入侵检测系统正式进入主流网络安全产品阶段。在

5、这个时期,入侵检测通常被视作防火墙的有益补充,这个阶段用户已经能够逐渐认识到防火墙仅能对4层以下的攻击进行防御,而对那些基于数据驱动攻击或者被称为深层攻击的威胁行为无能为力。厂商们用得比较多的例子就是大厦保安与闭路监控系统的例子,防火墙相当于保安,入侵检测相当于闭路监控设备,那些绕过防火墙的攻击行为将在“企图作恶”时,被入侵检测系统逮个正着。而后,在20001~2003年之间,蠕虫病毒大肆泛滥,红色代码、尼姆达、震荡波、冲击波此起彼伏。由于这些蠕虫多是使用正常端口,除非明确不需要使用此端口的服务,防火墙是无法控制和发现蠕虫传播的,反倒是入侵检测产品可以对这些蠕虫

6、病毒所利用的攻击代码进行检测(就是前面提到的滥用检测,将针对漏洞的攻击代码结合病毒特征做成事件特征,当发现有该类事件发生,就可判断出现蠕虫。),一时间入侵检测名声大振,和防火墙、防病毒一起并称为“网络安全三大件”。正当入侵检测概念如日中天之际,2003年GARTNER的一篇《入侵检测已死》的文章,带来了一个新的概念:入侵防御。在此之前,防火墙产品之所以不能做4层以上的分析,有一个原因就是分析性能跟不上,入侵检测产品由于采用旁路部署方式,对数据实时性的要求不是很高。当硬件发展和软件算法都足以支撑串行设备进行深层分析的时候,串接在网络中,对应用层的威胁行为也能发现并

7、防御的产品需求就呼之欲出了。一时间,入侵防御产品是入侵检测产品的升级版本,入侵检测产品没有用的言论甚嚣尘上。入侵检测产品是不是已经走到了产品生命周期的尽头,是不是已经没有人需要用入侵检测产品了呢?【入侵检测系统的发展】入侵检测产品真的只是防火墙的补充么?如果是这样的话,那么当网关类产品实现了对深层威胁行为的防御之后,入侵检测产品真的就寿终正寝了,这也是GARTNER认为入侵检测已死的最重要的原因:已经有了对应用层攻击进行防护的产品了,这种只能检测的产品——入侵检测,已经走了尽头。其实不然,在入侵检测产品被广泛应用的过程中,“发现应用层攻击行为”已经不是入侵检测产

8、品功能的全部了。旁路部署

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。