网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
四项下一代入侵检测关键技术分析
文章来源: 通信世界 文章作者: euo 发布时间: 2006-02-07   字体: [ ]
 

  因此,当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的证据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。一些IDS经销商已经把OS指纹识别的概念扩展到应用程序指纹识别,甚至到更广泛的用途上。

  2.告警泛滥抑制

  IDS产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为严重。NFR(一家网络安全公司)称这种现象为“告警饱和”。

  所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。下一代IDS产品利用一些规则(规则的制定需要考虑传感器)筛选产生的告警信息来抑制告警泛滥; IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样,网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抑制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

  3.告警融合

  该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。

  当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规

  则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。这个例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。

  元警告相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

  4.可信任防御模型

  改进的IDS中应该包含可信任防御模型的概念。事实上,2004年多数传统的IDS供应商已经逐渐地把防御功能加入到IDS产品中。与此同时,IPS(入侵防御系统)产品的使用率在增长,但是安全人士仍然为IDS产品预留了实现防御功能的空间。IDS产品供应商之所以这样做,部分原因在于他们认识到防御功能能否有效地实施关键在于检测功能的准确性和有效性。没有精确的检测就谈不上建立可信任的防御模型;所以,开发出好的内嵌防御功能的IDS产品关键在于提高检测的精确度。

  下一代IDS产品中,融入可信任防御模型后,将会对第一代IPS产品遇到的问题(误报导致合法数据被阻塞、丢弃;自身原因造成的拒绝服务攻击泛滥;应用级防御)有个圆满的解决。

  可信任防御模型中采用的机制:

  (1) 信任指数:IDS为每个告警赋予一个可信值,即在IDS正确评估攻击/威胁后对是否发出告警的自我确信度。如对于已知的SQLSlammer攻击,IDS 在分析数据流中的数据报类型和大小后,以高确信度断定数据流包含SQLSlammer流量。因为这种攻击使用UDP,数据报大小为376,所用端口为 1434;有了这样的数据,IDS会为相应的告警赋予高信任指数。

  (2)拒绝服务攻击(DOS):攻击者可能冒充内网IP(如邮件服务器IP)进行欺骗攻击,传统防御系统将会拒绝所有来自邮件服务器的流量,导致网内机器不能接受外部发来的邮件,下一代IDS产品能够识别这种自发的DOS情形,并且降低发生概率。 

  (3)应用级攻击:这是一种针对被保护力度低的应用程序(如即时通信工具、VoIP等)发起的攻击,攻击造成的后果非常严重。下一代IDS产品提供深度覆盖技术来保护脆弱的应用程序免遭攻击。

  综上所述,下一代IDS技术有效地解决IDS的高误报率、高漏报率以及无主动防御功能的问题。对于如何提高入侵检测系统的检测速度,以适应高速网络通信的要求,一些厂商也提出了相应的实现技术。今后,我们需要做的将是如何将这些技术有效的融合在入侵检测系统中,形成一个统一的标准,并且能够做到与其他网络安全设备协同工作,提高整个系统的安全性能。

--
原文链接: http://security.ccidnet.com/art/231/20060207/423051_1.html

 
推荐文章
·技术知识入门:反NIDS技术应用介
·入侵检测系统逃避技术和对策的介
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
·入侵检测术语全接触
·IDS:网络安全的第三种力量
·我们需要什么样的入侵检测系统
·IDS的数据收集机制
 
 
共3页: 上一页 [1] [2] 3 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·IDS逃避技术和对策
·理解IDS的主动响应机制
·警钟再鸣 防御在入侵的
·术语详解: IDS
相关分类
相关文章
·分析筛选IPS的八大定律
·新型蜜罐提高入侵检测准
·有效使用IDS/IPS的最佳
·IPS的快跑与慢走—简析I
·深度包检测技术的演进历
·网络向导之IDS/IPS的购
·警钟再鸣 防御在入侵的
·十大入侵检测系统高风险
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $