|
 ·新 品 推 荐: 信赖缔造姻缘 安全成就百年--NetEye推出网络安全新品 ·热 点 关 注: 东软获“信息安全软件产品信赖品牌”奖! ·安 全 问 答: NetEye问题解答--NetEye IDS 2.1 ·安 全 论 坛: 多重防火墙的组合应用 入侵检测技术的发展趋势 |
·NetEye防火墙系统3.1获中国软件行业协会颁发的“2002年度推荐优秀软件产品”奖!
·最新下载:NetEye Firewall 3.2技术白皮书
·最新下载:NetEye IDS 2.1技术白皮书
·最新NetEye VPN 解决方案
·东软NetEye进一步拓展区域行业市场--天津教育行业研讨会圆满结束
·东软NetEye全国销售培训华南大区首战告捷
--东软NetEye网络安全新品发布
2003年3月27日,东软软件股份有限公司在北京隆重发布了NetEye Firewall 3.2版及NetEye IDS 2.1版等系列网络安全新产品。同时,针对东软的安全咨询和服务体系的建设也成为本次发布会的一个亮点。
参加发布会的除了广大媒体记者外,国家网络安全相关的主管部门如国家公安部、国家商用密码管理委员会、国家保密局、国家科技部、国家财政部及解放军信息安全测评认证中心等部门的领导也出席了此次发布会,并对本次会议发布的新产品及东软NetEye近年来所取得的成绩给予了充分的肯定。
“流过滤”是东软在2001年3.0版本中提出的新的防火墙架构,相对于传统的状态检测包过滤和应用代理技术,流过滤体现的是高效率、透明的应用层保护能力,使用户可以快速实施细粒度的应用级安全策略。在各个厂家纷纷开始关注应用层安全的今天,“流过滤”技术架构更加显示了其前瞻性和先进性。
经过近两年的不断完善和实际使用中的磨合,3.2中的“流过滤”引擎已经相当成熟和完善,在性能和稳定性方面得到了大幅度的提升,使其能够满足关键业务领域的长期稳定运行的要求,而这些领域长期以来一直由国外的厂商所占据。
相对于2002年初发布的3.1版本,新的3.2版还在很多方面进行了大幅度的改进和提高,包括:
1.产品可靠性的提高,满足关键业务领域的运行要求;
2.优化了“流过滤”内核,提高了性能和可靠性,特别是在大规模并发下的处理效率;
3.改进了VPN功能,支持大规模的安全客户端的VPN接入,实现按角色的分权管理,提供了完善的通道监 测和自诊断功能;
4.在开放性上的增强:通过NAP协议,实现与其他安全产品的互动,支持通过SNMPv3与网管系统互联;
5.在应用保护模块方面,增加了DNS检测与转换模块,实现NAT下的自动DNS转换功能;集成了NetMeeting 模块、VOIP模块、ORACLE数据库模块;采用新的算法提高了HTTP模块和SMTP模块的内容检查速度。
“流过滤”的技术优势之一是可以快速扩充防火墙的应用保护能力,通过在线升级专用的“应用保护升级包”,可以快速提升防火墙针对某些攻击的防御能力。为了充分发挥流过滤平台的这种优势,东软在北京信息安全实验室的基础上组建了快速的应急响应团队,使其可以在分析攻击的基础上,快速发布针对性的解决对策。
NetEye防火墙的最新版本是东软坚持不懈的追求最可信赖的品质的结果,标志着国产网络安全产品与国外领先品牌全面竞争的开始(详细见网站NetEye防火墙3.2产品简介)。
此次东软同时发布的新产品还有NetEye IDS 2.1版本。这个版本继续延伸了NetEye IDS2.0所倡导的"全面关注网络健康"的管理理念,在监控能力、检测的性能和准确度、应用级审计、与其他安全部件之间互联等方面做了大幅度的改善。相对于去年发布的2.0版本,新版本的特色包括:
1.提高了实时检测的速度和准确度;
2.强大的数据备份能力;
3.完善的报警机制;
4.支持NAP协议,实现与防火墙产品的互联;
5.集成了基于SNMP的网络诊断、探测功能;
6.增加了用户自定义协议的内容恢复能力;
7.易用性和可用性上的改进(详细强本站NetEye IDS 2.1产品简介)。
同时东软在发布会上公布了向其他厂家开放NAP(Network Alert Protocol)协议的决定,通过这一开放的协议,任何厂商的产品都可以实现包括东软的网络安全产品在内的相互之间的互动。这一举动标志着东软向安全产品的标准化进程迈出了重要的一步。
在提供先进安全技术和产品的同时,东软继续加强了针对网络安全产品的安全咨询和服务体系的建设。组建了包括安全技术培训、安全系统规划、安全系统实施、应急响应在内的服务体系。在2003年将逐步建立培训中心、解决方案验证中心、应急响应中心等分布全国的服务机构。渠道厂商一直是东软服务体系中的重要组成部分,在2003年东软将通过对渠道伙伴的深入培训和认证,以及快速信息沟通渠道的建设,将使渠道成员具备更强的安全服务能力。
此次东软发布的NetEye网络安全新产品和服务策略不仅为用户的网络安全提供了更高的可靠性和更高效的管理,并且使用户的网路安全得到了持续的保证。东软在技术、产品、与服务方面的不断投入和完善使其NetEye网络安全品牌得到了越来越多的用户的认可,据IDC调查报告显示,东软NetEye防火墙产品在2000至2002年连续三年取得了位居国内同类厂商中市场占有率领先的位置;在中国计算机用户协会成立20周年之际组织的“20年的信赖”品牌调查评选中,东软NetEye被用户评为“信息安全软件产品中国计算机用户二十年信赖品”。
东软软件股份有限公司总裁王勇峰先生表示:信息安全是以保护客户的财产、信誉、甚至生命的安全为目标的,在这样的一个产业中,信赖是用户给予东软的最为珍贵的肯定和支持,是连系着用户与东软之间默契合作、共同发展的纽带,东软NetEye将以更加先进的网络安全技术、更加优质的网络安全产品及更加完善的网络安全服务来保障广大用户的网络及信息安全。
详情请垂询:东软集团BCC公关策划部 苏云霞小姐
电话:86-24-83665664 传真:86-24-83663451
邮件:suyx@neusoft.com
主页:http://neteye.neusoft.com
--东软喜获“信息安全软件产品信赖品牌”奖
2003年3月25日下午,由中国计算机用户协会主办,中国电子信息产业发展研究院(赛迪集团)协办,《中国计算机报》和《中国计算机用户》联合承办,各部委信息中心、各省市行业主管参加的“中国计算机用户协会20周年庆典”暨“中国计算机用户20年信赖的IT产品品牌”颁奖大会在北京隆重召开。
“中国计算机用户协会20周年庆典”活动在北京香格里拉大酒店大宴会厅举行。会上计算机用户协会理事长陈正清、信息安全部办公厅主任程光辉等致欢迎词并发表讲话。东软集团CTO方发和先生、东软股份网络安全事业部部长曹斌博士和网络安全产品营销中心策划部部长王虎应邀参加会议。
会上,中国计算机报社执行总编卢山揭晓了“中国计算机用户20年信赖的IT产品品牌调查活动”的结果。东软在此次调查活动中喜获“信息安全软件产品信赖品牌”奖。
本次获奖厂商都是近年来活跃在IT市场,并在产品技术、质量、售后服务各个方面都是用户心目中有口皆碑的企业,在诸多国内防火墙产品中,东软的NetEye防火墙能在此次活动中脱颖而出,获此殊荣,不能不说与东软在技术上的不断创新,以及不断围绕客户价值来构架自己的产品与服务体系有着直接的关系,它代表了中国亿万计算机用户对他们在IT市场多年耕耘的最好褒奖。
会后,主办单位举行了大型的庆典晚宴,东软集团有限公司首席技术官方发和先生代表所有获奖厂商做了精彩的演讲,博得了在场嘉宾的热烈掌声。
附注:奖牌图、颁奖图,方发和先生在精彩演讲图,曹斌博士领奖图。
题注:东软NetEye IDS产品经过两年多的发展,目前在全国已经应用于政府、电力、金融、电信、企业等重要的领域的几百家用户,那么,很多人对于该产品有很多问题。本文就大家关心的一些问题,请我们的资深安全顾问--王虎一一做了详细解答。
首先,简单介绍一下东软NetEye IDS产品的主要特点和典型拓扑结构。
NetEye IDS入侵检测系统是东软股份最新开发的网络安全产品。通过对网络进行不间断的监控,扩大网络防御的纵深,利用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警,响应和防范,是防火墙之后的第二道安全闸门。并可对网络的运行,使用情况进行监控、记录和重放。使用户对网络的运行状况一目了然,便于分析网络的问题,定位网络的故障。NetEye入侵检测系统可对自身进行自动维护,不需要用户的干预。学习和使用及其简易,不对网络的正常运行造成任何干扰,是完整的网络审计、监测、分析系统,是简单高效的网络安全解决方案。典型拓扑结构如下:
FAQ1: 东软的IDS产品策略是什么?
Senior Security Consultant(以下简称SSC,即资深安全顾问):东软自研究开发IDS之日起,就一直认为NetEye IDS不仅仅是单纯的网络安全软件,同时可以监控网络的运行,使用状况,是综合的网络健康管理平台。NetEye IDS 通过对网络各层的信息的监控,全面分析网络运行情况,智能判断攻击和异常事件。同时对网络中的应用进行完整的恢复和记录。并且提供辅助工具帮助管理员对网络进行分析和管理。
FAQ2:NetEye IDS主要面向的应用对象有哪些?
SSC:主要应用对象:1. 政府部门;2. 军队;3. 金融行业(银行,证券等);4. 关键行业(电力,石油等);5. 网络企业(网站,ISP等);6. 厂矿企业。
FAQ3:IDS遇到的最大问题是误报于漏报,请从技术角度来阐述该公司的产品是如何解决这些问题的?
SSC:IDS的漏报和误报是一对矛盾,NetEye IDS通过以下技术进行解决:
1. 在理解网络协议的基础上对网络数据进行重组,轻松处理数据报分片和乱序,以数据流为分析对象而不是单个的数据包。了解协议的上下文,增强了协议的相关性,而不仅仅是单纯的字符匹配。
2. 检测规则不仅包括数据的协议,端口。还包括协议的正文和上下文等等信息,并且包括事件发生的网络位置等信息,制定精确的规则,以进行综合的判断。
3. 用户可以选择规则是否加载和加载的各种选项,便于灵活的制定规则集,最大限度的符合用户网络的实际情况。
4. 通过多种统计,模式识别,字符匹配,协议分析等多种方法进行分析,而不是单独依赖某种方法的分析结果。
5. 提供应用协议的内容恢复功能,对网络上发生的应用进行恢复和重放。不但检测攻击事件,还重现攻击的过程。不但可发现已知攻击,还可以发现未知攻击。
6. 不但可发现外部攻击,还可以发现内部用户的恶意行为。通过内容恢复,管理员可以准确了解攻击是否发生,有效的减少了误报。
NetEye IDS通过以下技术提高检测速度:
1. 在操作系统内核级别进行数据的重组,对收取数据的驱动进行大量的优化。减少了系统内核到用户空间的数据拷贝,极大的提高了系统的性能。
2. NetEye IDS是软硬一体的系统结构,选取高性能的专用硬件,并通过大量测试,保证了硬件性能的最优化。
3. 通过选择专用的数据库,进行高效的索引。不但减轻了用户的管理负担,更极大的提高了存储效率。
FAQ4.东软对于基于主机的IDS与基于网络的IDS是如何看的?
SSC:基于主机的IDS准确度较高,但缺点是不同的系统需要不同的引擎,随系统的升级需要升级引擎,安装,维护不便,同时无法发现网络上的攻击事件。
基于网络的IDS安装调试简单,不需在系统上安装任何软件,需要的引擎数少,可最早发现网络上的攻击,隐蔽性也更好。缺点是准确度较低,同时随着网络流量的增大,处理峰值流量的难度加大。
目前国内用户的需求主要是基于网络的IDS。东软的NetEye IDS目前基于网络。为了满足不同客户的不同需求,基于主机的IDS也在开发研究之中。
FAQ5:相对与病毒、防火墙来说,IDS的普及还有待提高。东软在这方面有哪些具体的措施?
谈到网络安全,人们第一个想到的是著名的防火墙系统。因为它可以保护处于防火墙身后的网络不受外界的侵袭和干扰,但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足和弱点:
1. 传统的防火墙在工作时,就像戒备森严的公司大厦虽有保安的巡逻守护,却低档不住乔装的员工甚至家贼的偷袭一样,因为入侵者可以伪造数据绕过防火墙或者找到防火墙后可能敞开的后门;
2. 防火墙完全不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都将来自于内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设;
3. 由于防火墙性能上的限制,通常它不具备实时监控入侵的能力,而这一点,对于目前层出不穷的攻击技术来说是至关重要的;
4. 防火墙对于病毒的侵袭大多数情况下束手无策。正因为如此,那些认为在Internet入口处设置防火墙系统就足以保护企业网络安全的想法是不切实际的。
总之,东软将尽最大的努力让用户了解:防火墙最大的功能是访问控制,防病毒主要是针对已知病毒的防杀。但NetEye IDS可全面的了解,分析网络运行情况,发现网络的攻击,异常。只有在了解网络运行状况的情况下,才可有的放矢的制定安全策略。NetEye IDS 实现了和与NetEye Firewall联动,构成整体的网络安全解决方案。没有任何两个网络的结构是相同的,用户必须考虑自己的实际情况,选择适合自己的入侵检测产品。一个能够满足实际网络安全需求,操作简单直观,便于管理审计的IDS是每一位用户的最佳选择。
FAQ:用户如何选择一个理想的IDS?用户应作哪些准备工作?
用户可以通过以下标准来选择一个理想的IDS:
1. 攻击检测的规则库的大小,准确程度?
2. 是否有内容恢复功能?
3. 是否有完整网络审计,网络事件记录功能,全面的网络信息收集功能?
4. 性能如何?
5. 是否集成网络分析和管理的辅助工具,如:扫描器,嗅探器等?
6. 是否自带数据库,不需第三方数据源,数据是否可自动维护?
7. 管理维护是否足够简洁?
8. 互操作性如何,是否可和防火墙联动?
9. 自身安全性,隐蔽性如何?
10. 可升级性如何?
在用户决定购买IDS之前,建议用户应充分了解当前网络的拓扑,了解自己的网络以下几个关键问题:
1. 目前使用的交换机是否支持监听,支持的程度如何?
2. 主要想保护的资源是什么?主要防范外网黑客攻击还是内网恶意用户?
3. IDS产生的事件记录是否有管理员查看和处理检测到的攻击异常事件?
题注:本文就各个企业所关心的进行网络安全升级改造问题中的多重防火墙组合应用方式,请网络安全产品营销中心策划部网络安全咨询顾问--姚伟栋做了精确的解释。
国内外信息安全建设正如火如荼,政府机关、金融团体等各大行业和社会企业愈来愈重视加强对其IT系统的信息安全建设工作。与之相呼应的,为了适应这种庞大的市场需求,各信息安全设备厂家推出了各式各样的安全产品,一时间市面上安全产品林林总总,令人目不暇接。
正如俗话所说“一母生九子,九子各不同”,在这短短的时间内涌现出的各安全设备同样存在着各种各样的差异,这些差异主要来源于:
·产品采用的核心技术、体系架构的不同;
·厂商技术实力的差距;
·开发成本的约束;
·生产成本的限制;
·产品定位、目标客户群不同。
由于以上各种限制因素的存在,造成了产品在各个方面形成差距,主要表现在:
·产品安全性;
·产品稳定性;
·产品性价比;
·产品技术先进性;
·产品实际应用定位;
·售后服务支持能力;
·产品可持续升级能力。
正是这些种种差异的存在才造成企业IT主管在进行本企业网络安全建设的时候,面临着诸多选择,必须从多家类似产品中挑选出最适合自己企业网络状况的一种。但是企业网络的状况总是在变,业内各安全产品的优劣形势也在变,所以当年的最佳解决方案"在今天看上去往往会显得是一种并非最佳的选择。
信息安全建设是一个持续的过程,它不可能一蹴而就,这就意味着企业IT主管必须时刻关注业内最新动态,追踪热门技术,力保企业网络能够快速适应当前黑客与反黑形势。因此,针对上一段落中所谈及的“次优”方案,企业IT人员有责任将之快速扭转过来。扭转这种落后局面的方法有很多种,比如说最常见的“设备替换”方法,这种方法关注于寻求当前最先进同类产品,将网络已有的陈旧设备简单替换即可,以求实现最新技术在网络中的运用。但是,这种方法对陈旧设备的再利用考虑不足,替换下来的设备一般而言无法出售,只能闲置或遗弃,造成企业固有资产的流失浪费。 既然设备升级不可避免,而且大多情况下又是非常紧迫的,那么如何进行网络安全升级改造,达到既不浪费资产又要发挥出产品最大性能的目的呢?这个问题已经成为企业IT主管的重要考虑课题。下面介绍几种多种防火墙在企业网络中的组合应用方案。
如同本文前半部分所言,不同厂商所开发的防火墙产品或者是同一厂商所提供的不同系列的防火墙产品在各个方面都存在着差异,这些差异可能会构成客户选择的参考因素。但是与此同时,这些差异也构成了产品的不同特点,也就是所谓“尺有所短,寸有所长”。在网络中充分结合利用各家产品的优点长处,取长补短,则会让组合方案发挥出最大效果,实现单一产品所无法达到的性能。
多重防火墙的组合方式主要有两种:叠加式和并行式。示意图如下:
叠加式将多台防火墙串联在一条链路之上(如企业网络的出口位置),所有访问流量都要先后通过多台不同厂家的防火墙的审计保护,每种防火墙都将按照自己特定的体系结构和安全策略对过往流量进行核查。组合之后的整个防火墙系统的漏洞集是每台防火墙漏洞集的交集,网络攻击渗透过整套系统的概率将会大大降低,因此该部署方式能够充分结合多台防火墙在安全、审计方面的多种优势。
与叠加方式恰恰相反,并行式组合方式首先强调的是提供整套系统的健壮性。因为每个系统都有自己的平均无故障时间间隔MTBF值,这意味着无论何种设备都很难保证长时间平稳地运行,因此,为了保护企业网络应用的连续性和稳定性,企业网管人员可以考虑采用多种防火墙设备并行的部署方式,来获得较大的MTBF值;除此以外,通过并行部署,企业网络出口流量能够得到大幅度分流,并且可以根据用户类型或应用业务不同而划分不同的路由,在不同厂家的防火墙上实现针对性的防护措施,从而实现安全性更高的防护体系。但是并行的方式在部署上会有很大难度,里面可能涉及网络需要改造和调整,所以采用这种方式的可行性有限。
在本文所论述的方案中,有一点需要特别注意,那就是新旧设备必须是不同种类、不同厂家的产品。其中的原因就是同一厂家的产品在技术原理上往往呈现一种连续性,类似于人类的“血缘关系”一样,这就造成同一厂家的产品具备很大的相似性。所以,如果某厂家的某类产品存在某种缺陷的话,那么该厂家的其他同类产品通常也会存在该缺陷;反之亦然,同一厂商的产品也会具备相近的优点。这样一来,采用同一厂商的多台防火墙产品进行组合应用所形成的系统拥有与单机完全相同的缺陷,而且转发处理延迟、系统稳定性都会明显降低,完全失去了实际意义。
因而,采用不同厂家的防火墙系统是实现高效、稳定、健壮的组合系统的最重要的前提条件。
结论:多厂商防火墙系统的组合应用是一种比较高效的解决方案,它既可以保护企业已有投资,又能够充分利用现有设备,实现更为理想的网络保护效果。
入侵检测技术的发展趋势
题注:本文中NetEye IDS产品经理--周阳,为详述了入侵检测技术的各个方面及其未来的发展方向。
1. 入侵检测产品发展现状
入侵检测系统(Intrusion Detect System),目前基本上分为以下两种:主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志,需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。本文分析的为目前使用广泛的网络入侵监测系统。
2. 为什么需要入侵检测系统?
目前国内的用户在网络安全方面,对防火墙已经有了较高的认知程度,而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析,保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。
同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。如果把放火防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。
3. 入侵检测系统目前存在的问题
入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及,一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在这样一些问题:
(1). 误报和漏报的矛盾:入侵检测系统对网络上所有的数据进行分析,如果攻击者对系统进行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻击是否需要报警,这就是一个需要管理员判断的问题。因为这代表了一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对真正的攻击作出反映。和误报相对应的是漏报,随着攻击方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
(2). 隐私和安全的矛盾:入侵检测系统可以收到网路的所有数据,同时可以对其进行分析和记录,这对网络安全极其重要,但难免对用户的隐私构成一定风险,这就要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。
(3). 被动分析与主动发现的矛盾:入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。
(4). 海量信息与分析代价的矛盾:随着网路数据流量的不断增长,入侵检测产品能否处理高效处理网路中的数据也是衡量入侵检测产品的重要依据。
(5). 功能性和可管理性的矛盾:随着入侵检测产品功能的增加,可否在功能增加的同时,不增大管理的难度。例如,入侵检测系统的所有信息都储存在数据库中,此数据库能否自动维护和备份而不需管理员的干预?另外,入侵检测系统自身安全性如何?是否易于部署?采用何种报警方式?也都是需要考虑的因素。
(6). 单一的产品与复杂的网络应用的矛盾:入侵检测产品最初的目的是为了检测网络的攻击,但仅仅检测网络中的攻击远远无法满足目前复杂的网应用需求。通常,管理员难以分清网路问题是由于攻击引起的,还是网络故障?入侵检测检测出的攻击事件又如何处理,可否和目前网络中的其他安全产品进行配合。
4.入侵检测技术的发展趋势
(1).分析技术的改进 :入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。例如:某个基于HTTP协议的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟,但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更新也和检测的准确程度相关。
(2).内容恢复和网络审计功能的引入:前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功能。
内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
内容恢复和网络审计让管理员看到网络的真正运行状况,其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警,还可以看到整个攻击过程,了解攻击确实发生与否,查看攻击着的操作过程,了解攻击造成的危害。不但发现已知攻击,同时发现未知攻击。不当发现外部攻击者的攻击,也发现内部用户的恶意行为。毕竟管理员是最了解其网络的,管理员通过此功能的使用,很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。
(3).集成网络分析和管理功能:入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
(4).安全性和易用性的提高:入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
(5).改进对大数据量网络的处理方法:随着对大数据量处理的要求,入侵检测的性能要求也逐步提高,出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析,同时具备内容恢复和网络审计功能,则其存储系统也很难完全工作在千兆环境下。这种情况下,网络数据分流也是一个很好的解决方案,性价比也较好。这也是国际上较通用的一种作法。
(6).防火墙联动功能 :入侵检测发现攻击,自动发送给放火墙,防火墙加载动态规则拦截入侵,称为防火墙联动功能。目前此功能还没有到完全实用的阶段,主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击,如Nimda等,联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试,对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高,联动功能日益趋向实用化。
5.总结
目前入侵检测是一项全新的技术,对网络的安全起着重大的作用,但也有一些技术问题需要解决或正在解决,入侵检测的应用也会日益广泛,以下是评价目前评价一个入侵检测产品是否优秀的标准:
1. 高效的数据截取
2. 智能的数据流重组
3. 强大的入侵识别
4. 全面的内容恢复
5. 完整的网络审计
6. 实时的网络监控
7. 集成的网络管理
8. 简便的接入
9. 易用的管理
10.灵活的部署
11.丰富的报警方法
12.多样的输出结果
13.严格的自身安全
14.高度的可集成性
总之,入侵检测产品的目标是成为“全面的网络健康分析管理平台”。
原文全文请下载NetEye安全网站《入侵检测技术底发展趋势》
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com