文檔庫

最新最全的文檔下載
當前位置:文檔庫 > IDS產品將如何進化

IDS產品將如何進化

IDS產品將如何“進化”?

問題提出:

入侵檢測(IDS)是用來發現黑客入侵的特殊安全設備,早期的時候很簡單,就是一個日志分析器,大海撈針一樣從日志里提取黑客的來訪記錄;后來黑客學乖了,臨走時把自己的“污點”記錄統統抹掉;記錄沒了,日志分析就很難再發現黑客了(當然一些菜鳥級黑客還沒有這個意識與能力)。現在,日志分析成為內部人是否有違規行為的審計工具,面對堆積如山的日志信息,你可以想象審計人員的工作是如何辛苦,揪出一個“壞蛋”,如同揀到一個金元寶一樣“高興”。

為了發現黑客,IDS開始收集“原始”的網絡流量,自己進行分析(流量是實時的,黑客也沒有辦法不產生流量)。從此,IDS產品開始“分家”,在計算機內收集網卡流量進行分析的稱為主機IDS;從網絡交換機上,或者直接從物理鏈路上“復制”流量的稱為網絡IDS;分析技術都是把原始數據還原為用戶訪問過程,分析訪問者的行為是否異常,發現黑客工具的指紋與特征,技術上稱為應用協議解析(標準的協議如HTTP、FTP、SMTP、Telnet等,新流行的應用協議如P2P、MSN等)。

檢測與躲避技術相較量的關鍵是IDS的識別能力,IDS廠商收集黑客“指紋特征”與“行為模式”,把它們放在攻擊數據庫內,并不斷地升級;看見貌似的就告警,“寧可報錯,不可放過”,從近十年以來的攻防拉鋸戰中看,攻擊數據庫越來越龐大,但黑客變換與偽裝速度更為快些,黑客開始使用程序自動生成無數的新“特征”,快到每天新出現幾十萬個,不僅可以迷惑檢測者,而且讓防護者還沒來得及升級就落伍了…

識別變得越來越困難,有些安全廠家推出所謂的主動防御,就是在對攻擊者識別的同時,先對自己的應用進行過濾,自己的“家底”是很容易清理的,不是我這里記錄允許的,就一定是外來的、可疑的,先隔離起來再說。面對互聯網上層出不窮的新創意,主動防御保護自己的那一些老家底也有些“力不從心”。

入侵檢測產品在核心技術上出現了“瓶頸”,在易用性上出現“海量事件危機”,這個產品下一步究竟應該如何進化呢,是自然淘汰,還是“變異”后重生?

我們對付黑客的辦法:

從戰略思想上來說,我們對付黑客的辦法就兩種:一是加裝“防盜門”,把一些“菜鳥”

級攻擊擋在門外邊,我們常見的FW、IPS、UTM都是這種方式,這種辦法對付高級黑客顯

IDS產品將如何進化

(共4頁)
钻石交响曲登陆 辽宁快乐12 配资平台排名 股票行情实时查询300066 海南4+1 五分彩 河南十一选五 股票配资平台哪个好推荐九梦财富 竞彩比分手机客户端 诚信点配配资 富余通配资 浙江6+1 陕西十一选五 股票指数期货ic是什么 股票配资杠杆 富时罗素全球股票指数 福建22选5