我是靠谱客的博主 失眠小天鹅,最近开发中收集的这篇文章主要介绍***检测(IDS)存在的问题及发展趋势,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

***检测系统(Intrusion Detect System),目前基本上分为以下两种:主机***检测系统(HIDS);网络***检测系统(NIDS)。主机***检测系统分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络***监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。
一、IDS存在的问题
1、误/漏报率高
IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。
2、没有主动防御能力
IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于***手段的更新。
3、缺乏准确定位和处理机制
IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现***事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
4、性能普遍不足
现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS***。
二、***检测技术的发展趋势
(1).分析技术的改进
***检测误报和漏报的解决最终依靠分析技术的改进。目前***检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
统计分析是统计网络中相关事件发生的次数,达到判别***的目的。模式匹配利用对***的特征字符进行匹配完成对***的检测。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明***。例如:某个基于HTTP协议的***含有ABC特征,如果此数据分散在若干个数据包中,如:一个数据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
行为分析技术不仅简单分析单次***事件,还根据前后发生的事件确认是否确有***发生,***行为是否生效,是***检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟,但却是***检测技术发展的趋势。目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更新也和检测的准确程度相关。
2).内容恢复和网络审计功能的引入
前面已经提到,***检测的最高境界是行为分析。但行为分析前还不是很成熟,因此,个别优秀的***检测产品引入了内容恢复和网络审计功能。
内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。***检测的接入方式决定***检测系统中的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
内容恢复和网络审计让管理员看到网络的真正运行状况,其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的***事件的报警,还可以看到整个***过程,了解***确实发生与否,查看***着的操作过程,了解***造成的危害。不但发现已知***,同时发现未知***。不当发现外部***者的***,也发现内部用户的恶意行为。毕竟管理员是最了解其网络的,管理员通过此功能的使用,很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。
(3).集成网络分析和管理功能
***检测不但对网络***是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。***检测也不应只采用被动分析方法,最好能和主动分析结合。所以,***检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
(4).安全性和易用性的提高
***检测是个安全产品,自身安全极为重要。因此,目前的***检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀***产品的特性和以后继续发展细化的趋势。
(5).改进对大数据量网络的处理方法
随着对大数据量处理的要求,***检测的性能要求也逐步提高,出现了千兆***检测等产品。但如果***检测检测产品不仅具备***分析,同时具备内容恢复和网络审计功能,则其存储系统也很难完全工作在千兆环境下。这种情况下,网络数据分流也是一个很好的解决方案,性价比也较好。这也是国际上较通用的一种作法。
(6).防火墙联动功能
***检测发现***,自动发送给放火墙,防火墙加载动态规则拦截***,称为防火墙联动功能。目前此功能还没有到完全实用的阶段,主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的***,如Nimda等,联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试,对防火期的稳定性和网络应用会造成负面影响。但随着***检测产品检测准确度的提高,联动功能日益趋向实用化

转载于:https://blog.51cto.com/infosec/97385

最后

以上就是失眠小天鹅为你收集整理的***检测(IDS)存在的问题及发展趋势的全部内容,希望文章能够帮你解决***检测(IDS)存在的问题及发展趋势所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(48)

评论列表共有 0 条评论

立即
投稿
返回
顶部