IDS技術  

根據采集數據源的不同，IDS可分為主機型IDS（Host-based IDS，HIDS）和網絡型IDS（Network-based IDS，NIDS）。

HIDS和NIDS都能發(fā)現對方無法檢測到的一些入侵行為，可互為補充。完美的IDS產品應該將兩者結合起來。目前主流IDS產品都采用HIDS和NIDS有機結合的混合型IDS架構。

傳統(tǒng)的入侵檢測技術有：

1、模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數據庫進行比較，來發(fā)現違背安全策略的入侵行為。一種進攻模式可以利用一個過程或一個輸出來表示。

這種檢測方法只需收集相關的數據集合就能進行判斷，能減少系統(tǒng)占用，并且技術已相當成熟，檢測準確率和效率也相當高。但是，該技術需要不斷進行升級以對付不斷出現的攻擊手法，并且不能檢測未知攻擊手段。

2、異常檢測

異常檢測首先給系統(tǒng)對象（用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，包括統(tǒng)計正常使用時的測量屬性，如訪問次數、操作失敗次數和延時等。測量屬性的平均值被用來與網絡、系統(tǒng)的行為進行比較，當觀察值在正常值范圍之外時，IDS就會判斷有入侵發(fā)生。異常檢測的優(yōu)點是可以檢測到未知入侵和復雜的入侵，缺點是誤報、漏報率高。

3、完整性分析

完整性分析關注文件或對象是否被篡改，主要根據文件和目錄的內容及屬性進行判斷，這種檢測方法在發(fā)現被更改和被植入特洛伊木馬的應用程序方面特別有效。完整性分析利用消息摘要函數的加密機制，能夠識別微小變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現入侵，只要攻擊導致文件或對象發(fā)生了改變，完整性分析都能夠發(fā)現。完整性分析一般是以批處理方式實現，不用于實時響應。

入侵檢測面臨的問題

1、誤報和漏報

IDS系統(tǒng)經常發(fā)出許多假警報。誤警和漏警產生的原因主要有以下幾點：

● 當前IDS使用的主要檢測技術仍然是模式匹配，模式庫的組織簡單、不及時、不完整，而且缺乏對未知攻擊的檢測能力；

● 隨著網絡規(guī)模的擴大以及異構平臺和不同技術的采用，尤其是網絡帶寬的迅速增長，IDS的分析處理速度越來越難跟上網絡流量，從而造成數據包丟失；

● 網絡攻擊方法越來越多，攻擊技術及其技巧性日趨復雜，也加重了IDS的誤報、漏報現象。

2、拒絕服務攻擊

IDS是失效開放（Fail Open）的機制，當IDS遭受拒絕服務攻擊時，這種失效開放的特性使得黑客可以實施攻擊而不被發(fā)現。

3、插入和規(guī)避

插入攻擊和規(guī)避攻擊是兩種逃避IDS檢測的攻擊形式。其中插入攻擊可通過定制一些錯誤的數據包到數據流中，使IDS誤以為是攻擊。規(guī)避攻擊則相反，可使攻擊躲過IDS的檢測到達目的主機。

插入攻擊的意圖是使IDS頻繁告警（誤警），但實際上并沒有攻擊，起到迷惑管理員的作用。規(guī)避攻擊的意圖則是真正要逃脫IDS的檢測，對目標主機發(fā)起攻擊。黑客經常改變攻擊特征來欺騙基于模式匹配的IDS。 #p#

IDS發(fā)展趨勢　　

在安全漏洞被發(fā)現與被攻擊之間的時間差不斷縮小的情況下，基于特征檢測匹配技術的IDS已經力不從心。IDS出現了銷售停滯，但IDS不會立刻消失，而是將IDS將成為安全信息管理（SIM）框架的組成部分。

在SIM框架中，IDS的作用可以通過檢測和報告技術得到加強。分析人士指出，IDS的作用正轉變?yōu)檎{查取證和安全分析。大約5年后，一致性安全管理以及內核級的安全技術將共同結束基于特征檢測的IDS技術的使命。

美國網絡世界實驗室聯(lián)盟成員Joel Snyder認為，未來將是混合技術的天下，在網絡邊緣和核心層進行檢測，遍布在網絡上的傳感設備和糾正控制臺通力協(xié)作將是安全應用的主流。

一些廠商通過將IDS報警與安全漏洞信息進行關聯(lián)分析，著手解決IDS的缺陷。SIM廠商在實現安全信息分析的方式上開始采取更加模塊化的方法，將安全漏洞管理、異常檢測、網絡評估、蜜罐模塊與IDS模塊搭配在一起，以更好地確定和響應安全事件。

IPS主動防護

盡管IDS是一種受到企業(yè)歡迎的解決方案，它還是不足以阻斷當今互聯(lián)網中不斷發(fā)展的攻擊。入侵檢測系統(tǒng)的一個主要問題是它不會主動在攻擊發(fā)生前阻斷它們。同時，許多入侵檢測系統(tǒng)基于簽名，所以它們不能檢測到新的攻擊或老式攻擊的變形，它們也不能對加密流量中的攻擊進行檢測。

而入侵防護系統(tǒng)（Intrution Protection System，IPS）則傾向于提供主動性的防護，其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。

IPS 是通過直接嵌入到網絡流量中而實現這一功能的，即通過一個網絡端口接收來自外部系統(tǒng)的流量，經過檢查確認其中不包含異?；顒踊蚩梢蓛热莺?，再通過另外一個端口將它傳送到內部系統(tǒng)中。這樣一來，有問題的數據包，以及所有來自同一數據流的后續(xù)數據包，都能夠在IPS設備中被清除掉。

簡單地理解，IPS等于防火墻加上入侵檢測系統(tǒng)，但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產品，它在基于TCP/IP協(xié)議的過濾方面表現出色，而且在大多數情況下，可以提供網絡地址轉換、服務代理、流量統(tǒng)計等功能。

和防火墻比較起來，IPS的功能比較單一，它只能串聯(lián)在網絡上，對防火墻所不能過濾的攻擊進行過濾。一般來說，企業(yè)用戶關注的是自己的網絡能否避免被攻擊，對于能檢測到多少攻擊并不是很熱衷。

但這并不是說入侵檢測系統(tǒng)就沒有用處，在一些專業(yè)的機構，或對網絡安全要求比較高的地方，入侵檢測系統(tǒng)和其他審計跟蹤產品結合，可以提供針對企業(yè)信息資源的全面審計資料，這些資料對于攻擊還原、入侵取證、異常事件識別、網絡故障排除等等都有很重要的作用。

IPS目前主要包含以下幾種類型：1、基于主機的入侵防護（HIPS），它能夠保護服務器的安全弱點不被不法分子所利用；2、基于網絡的入侵防護（NIPS），它可通過檢測流經的網絡流量，提供對網絡系統(tǒng)的安全保護，一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是復位會話；3、應用入侵防護，它把基于主機的入侵防護擴展成為位于應用服務器之前的網絡設備。

IPS面臨的挑戰(zhàn)

IPS 技術需要面對很多挑戰(zhàn)，其中主要有三點:

1、單點故障。設計要求IPS必須以嵌入模式工作在網絡中，而這就可能造成瓶頸問題或單點故障。如果IDS出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網絡的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業(yè)網絡提供的應用。

2、性能瓶頸。即使 IPS設備不出現故障，它仍然是一個潛在的網絡瓶頸，不僅會增加滯后時間，而且會降低網絡的效率，IPS必須與數千兆或者更大容量的網絡流量保持同步，尤其是當加載了數量龐大的檢測特征庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS產品供應商都通過使用自定義硬件（FPGA、網絡處理器和ASIC芯片）來提高IPS的運行效率。

3、誤報和漏報。誤報率和漏報率也需要IPS認真面對。在繁忙的網絡當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理36000條警報，一天就是864000條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特征編寫得不是十分完善，那么“誤報”就有了可乘之機，導致合法流量也有可能被意外攔截。

對于實時在線的IPS來說，一旦攔截了“攻擊性”數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發(fā)了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此后該客戶所有重新連接到企業(yè)網絡的合法訪問都會被“盡職盡責”的IPS攔截。 　　

IDS和IPS將共存

雖然IPS具有很大的優(yōu)勢，然而美國網絡世界實驗室聯(lián)盟成員Rodney Thayer認為，在報告、分析等相關技術完善得足以防止虛假報警之前，IPS不可能取代IDS設備。IPS可能將取代外圍防線的檢測系統(tǒng)，而網絡中的一些位置仍然需要檢測功能，以加強不能提供很多事件信息的IPS。

【相關文章】

1. Infonetics公布IPS客戶調研數據：TippingPoint名列前茅
2. IDS的用途
3. 啟明星辰IDS IPS產品市場表現優(yōu)異