入侵检测及网络安全发展技术探,3d打印技术发展前景
一、入侵检测系统(IDS)诠释
IDS是一种网络安全系统当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时IDS能够检测出来并进行报警通知网络该采取措施进行响应。
图1:入侵检测/响应流程图
目前IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测而完整性分析则用于事后分析。
1.误/漏报率高
IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测而统计方法中的阈值难以有效确定太小的值会产生大量的误报太大的值又会产生大量的漏报。而在协议分析的检测方式中一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等其余大量的协议报文完全可能造成IDS漏报如果考虑支持尽量多的协议类型分析网络的成本将无法承受。
2.没有主动防御能力
IDS技术采用了一种预设置式、特征分析式工作原理所以检测规则的更新总是落后于攻击手段的更新。
3.缺乏准确定位和处理机制
IDS仅能识别IP地址无法定位IP地址不能识别数据来源。IDS系统在发现攻击事件的时候只能关闭网络出口和服务器等少数端口但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
4.性能普遍不足
现在市场上的IDS产品大多采用的是特征检测技术这种IDS产品已不能适应交换技术和高带宽环境的发展在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包形成DoS攻击。
三、IDS技术的发展
IDS虽然存在一些缺陷但换个角度我们看到各种相关网络安全的黑客和病毒都是依赖网络平台进行的而如果在网络平台上就能切断黑客和病毒的传播途径那么就能更好地保证安全。这样网络设备与IDS设备联动就应运而生了。
IDS与网络交换设备联动是指交换机或防火墙在运行的过程中将各种数据流的信息上报给安全设备IDS系统可根据上报信息和数据流内容进行检测在发现网络安全事件的时候进行有针对性的动作并将这些对安全事件反应的动作发送到交换机或防火墙上由交换机或防火墙来实现精确端口的关闭和断开由此即产生了入侵防御系统(IPS)的概念。
简单地理解可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能力求做到一旦发现有攻击行为立即响应主动切断连接。它的部署方式不像IDS并联在网络中而是以串联的方式接入网络中其功能示意如图2所示。
图2:IPS功能示意图
除了IPS也有厂商提出了IMS(入侵管理系统)。IMS是一个过程在行为未发生前要考虑网络中有什么漏洞判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时不仅要检测出入侵行为还要主动阻断终止入侵行为;在入侵行为发生后还要深层次分析入侵行为通过关联分析来判断是否还会出现下一个攻击行为。
四、网络安全的发展方向
1.检测和访问控制技术将共存共荣
以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。
(1)防火墙是网关形式要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能所以其传输要求是非常高的。