返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
入侵检测系统的发展
2009-08-21  启明星辰 吴凡

20012003年之间,蠕虫病毒大肆泛滥,红色代码、尼姆达、震荡波、冲击波此起彼伏。由于这些蠕虫多是使用正常端口,除非明确不需要使用此端口的服务,防火墙是无法控制和发现蠕虫传播的,而入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测,一时间入侵检测名声大振,和防火墙、防病毒一起并称为“网络安全三大件”。

2003GARTNER的一篇《入侵检测已死》的文章,带来了一个新的概念:入侵防御。在此之前,防火墙产品之所以不能做4层以上的分析,有一个原因就是分析性能跟不上,入侵检测产品由于采用旁路部署方式,对数据实时性的要求不是很高。当硬件发展和软件算法都足以支撑串行设备进行深层分析的时候,串接在网络中,对应用层的威胁行为也能发现并防御的产品需求就呼之欲出了。一时间,入侵防御产品是入侵检测产品的升级版本,入侵检测产品没有用的言论甚嚣尘上。入侵检测产品是不是已经走到了产品生命周期的尽头,是不是已经没有人需要用入侵检测产品了呢?

其实不然,在入侵检测产品被广泛应用的过程中,“发现应用层攻击行为”已经不是入侵检测产品功能的全部了。旁路部署的入侵检测有一个最大的天然优势就是可以从全局的角度查看网络数据:不论是进出网络的,还是网络内部的。这使得入侵检测拥有了成为管理手段,而非使用工具的机会。

和入侵防御产品不同,入侵检测产品关注网络中的所有事件,而不仅仅是值得阻断的威胁事件。因为通过对历史数据的分析和对比,入侵检测可以实现其更高的管理价值:提供安全建设建议和评估网络安全建设效果。

提供安全建设建议

很少有安全产品像入侵检测产品那样需要加入大量的人工分析,这往往是那些“IDS无用论”拥趸们的武器:入侵检测不能“即插即用”,还需要加入分析,很不好。但这恰恰是入侵检测产品最有价值的地方:它能告诉用户,什么地方存在什么样的威胁,需要如何处理。比如说熊猫烧香病毒,可以利用网络共享、U盘等方式进行传播,网关级的安全设备对这种“自内而外”的传播方式无能为力,防病毒软件则因为该病毒中有自动停止防病毒软件进程,修改防病毒软件注册表键值等手段而束手无策,只有入侵检测产品这种旁路监听的产品,可以及时发现网络中的异常,明确找出病毒根源并提出解决对策:隔离受感染主机、在防火墙等安全设备上增加安全策略、为服务器等重要资产划分独立区域、增加适当网络安全设备(如防病毒、防火墙)、完善计算机安全管理制度(不允许使用未经检验的移动存储设备等)。

评估网络安全建设效果

正是由于入侵检测产品需要人工分析,所以报表、日志数据库就一直作为入侵检测产品的重要组成部分,而正是有了这些历史数据的积累,才有了入侵检测的另外一个管理作用:评估安全建设效果。

我们来设想一个场景,怎样才能评估网络安全建设的效果呢?新购置的防火墙产品是否有用?放置的位置是不是最佳的选择?

没错,需要评估某事、某物的效果,不外乎调查和对比,收集此前、此后的相关数据并进行对照,有无效果一目了然。入侵检测产品就是这样一个可以协助效果评估的管理工具:它拥有最完善的网络历史和实时数据,网络过去的状况和现在的状况应有尽有。某用户初次部署入侵检测产品,发现一天中服务器遭受内外部威胁次数是100次,而整个网络事件次数为1000次,在经过增加其他安全产品,调整网络布局配置后,发现一天中服务器遭受威胁次数降低到了8次,整个网络事件次数为32次,这就说明安全建设(增加产品、调整配置等)是有效果的。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码: 验证码:看不清?点击更换
http://www.8899baijiale.com丨http://www.7788bocaiwang.com丨http://www.jrbocaitong.com
文博彩通公司2013号文件

百家乐 http://www.jrbaijiale.com博彩网 http://www.jrbocaiwang.com博彩通 http://www.jrbocaitong.com百家乐 http://www.7788baijiale.com皇冠网 http://www.7788hgw.com博彩网 http://www.8899bocaiwang.com博彩网 http://www.7788bocaiwang.com百家乐 http://www.8899baijiale.com百家乐 http://www.jiaribaijiale.com皇冠网 http://www.jiarihgw.com