网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
警钟再鸣 防御在入侵的那一刻
文章来源: 中国计算机用户 文章作者: 李玮 发布时间: 2006-02-08   字体: [ ]
 

  随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。

  这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS要求。

  威胁触目惊心

  根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。

  其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。

  上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。

  就像“911”之后的美国,人们突然发现,以前大家对安全问题的看法已经不适合新形势的需要了,原本人们认为固若金汤的美国本土,被新的攻击手段炸得千疮百孔。目前的互联网和网络安全部署大家原本很乐观,但上面列举的这些触目惊心的危害清楚地表明,在层出不穷的攻击手段面前,我们的网络安全保护措施已经落后了。

  现有技术不够用!

  事实上,“911”美国遭受恐怖主义袭击后,在防护手段方面的变化,也映射出网络安全产品发展的脉络。

  在“911”前,机场在安全方面不是一点手段没有。在登机前要验证旅客的身份证件,并通过金属探测门,防止旅客带管制刀具上机。这种检查手段和防火墙在网络上所起的作用相似。

  通常,人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足和弱点:

  入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门,就像恐怖分子可以伪造身份证件上飞机一样;

  防火墙不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设,就像恐怖分子可以收买机场人员一样;

  传统防火墙不具备对应用层协议的检查过滤功能,无法对Web攻击、FTP攻击等做出响应,防火墙对于病毒蠕虫的侵袭也是束手无策,就像金属探测器检测不出来非金属的攻击武器,易燃易爆品一样。

  正因如此,在网络世界里,人们开始了对入侵检测技术的研究及开发。入侵检测技术很像在机场安装了多台摄像头,实时观察旅客的行为,以发现安全问题。IDS可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。

  但是,人们也逐渐意识到IDS所面临的问题。

  较高的漏报率和误报率。这已经是世界性难题,就像机场的监控录像不能监控到每个角落,不能从人的行为举止完全准确地判断出其是否为恐怖分子一样。

  IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。机场的监控录像最有价值的地方其实是在恐怖事件发生后,警察通过备份的监控录像查找可疑分子,为破案提供线索。

  IPS填补了空白

  在后“911”时代,人们发现机场的安检措施变了,对登机的旅客除了检查身份证件外,还要检查指纹,仔细搜身,连鞋子都要脱了检查;甚至连饮料瓶都要旅客喝一口,以确保那不是汽油。这新增加的检查手段让恐怖分子蒙混过关的几率大为减少。

  安检措施的改进,对应于网络安全防范,就是加强现有的防火墙和IDS等保护功能,同时对经过的数据包进行更为严格的检查措施。于是诞生了IPS技术,我们称之为入侵防御系统。

  IPS是在应用层的内容检测基础上加上主动响应和过滤功能,弥补了传统的主流网络安全技术不能完成更多内容检查的不足,填补了网络安全产品线的基于内容的安全检查的空白。IPS工作原理如图1所示。

  IPS设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。

 
推荐文章
·技术知识入门:反NIDS技术应用介
·入侵检测系统逃避技术和对策的介
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
·入侵检测术语全接触
·IDS:网络安全的第三种力量
·我们需要什么样的入侵检测系统
·IDS的数据收集机制
 

 
共5页: 上一页 1 [2] [3] [4] [5] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·IDS逃避技术和对策
·理解IDS的主动响应机制
·四项下一代入侵检测关键
·术语详解: IDS
相关分类
相关文章
·深度包检测技术的演进历
·十大入侵检测系统高风险
·IPS的快跑与慢走—简析I
·分析筛选IPS的八大定律
·四项下一代入侵检测关键
·新型蜜罐提高入侵检测准
·有效使用IDS/IPS的最佳
·网络向导之IDS/IPS的购
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $