跟贴吧，共同学习IDS

系统风险与入侵检测

　　计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2000亿美元以上。

　　政府、银行、大企业等机构都有自己的内网资源。从这些组织的网络办公环境可以看出，行政结构是金字塔型，但是局域网的网络管理却是平面型的，从网络安全的角度看，当公司的内部系统被入侵、破坏与泄密是一个严重的问题，以及由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计，全球80%以上的入侵来自于内部。此外，不太自律的员工对网络资源无节制的滥用对企业可能造成巨大的损失。

　　当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入Internet，以政府上网为标志的数字政府使国家机关与Internet互联。通过Internet 实现包括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。无论政府、商务，还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重要组成部分，同时也是国家网络经济发展的关键。

　　据统计：信息窃贼在过去5年中以250%速度增长，99%的大公司都发生过大的入侵事件。世界著名的商业网站，如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵，造成巨大的经济损失。甚至连专门从事网络安全的RSA网站也受到黑客的攻击。

　　对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。

　　网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。 网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。本文着重讨论的入侵检测技术是安全审计中的核心技术之一，是网络安全防护的重要组成部分。

　　入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有：入侵

协议分析技术的优点
 

协议分析技术利用网络协议的高度规则性快速探测攻击的存在。这种技术导致所需计算的大量减少，即便在高负载的网络上，也可以完全探测出各种攻击，并对其进行更详细的分析而不会丢包。协议分析的优势包括：


解析命令字符串――URL第一个字节的位置被给予解析器。解析器是一个命令解析程序，最新一代IDS网络入侵检测引擎包含超过70个不同的命令解析器，因此它可以在不同的上层应用协议上，如Telnet、 FTP、HTTP、SMTP、SNMP、DNS等等，对每一个用户命令作出详细分析。

探测碎片攻击和协议确认――在基于协议分析的IDS中，各种协议都被解析，如果出现IP碎片设置，数据包将首先被重装，然后详细分析来了解潜在的攻击行为。通过重装数据包，系统可以检测到利用IDS逃避技术的攻击手段。
协议分析与命令解析带来的好处还包括：当系统提升协议栈来解析每一层时，它用已获得的知识来消除在数据包结构中不可能出现的攻击。比如4层协议是TCP，那就不用再搜索其他第四层协议如UDP上形成的攻击。如果数据包最高层是SNMP，那就不用再寻找Telnet或HTTP攻击。这样做的结果是性能得到明显改善。


降低误报率――协议解析也大大降低了模式匹配IDS系统中常见的误报现象。当数据包的一些字符串符合攻击特征库时系统就会报警，但该字符串实际上根本不是一个攻击，这就属于攻击误报。这样的误报不会在基于协议分析和命令解协的IDS系统中发生，因为它们知道和每个协议有关的潜在攻击的确切位置。

高性能――基于协议分析和命令解析的IDS网络传感器采用高性能数据包驱动器，使其不仅支持线速百兆流量检测，而且千兆网络传感器具有900兆网络流量的100%检测能力，可以支持300万个并发连接。
协议分析与特征模式匹配的对比

高速数据包捕获和协议分析、命令解析给入侵检测系统带来的变革性好处包括：


提高性能：协议分析技术充分利用通信协议的已知结构，与传统的模式匹配系统采用强力对比(Brute Force)的方法相比，可以更快更有效地处理信息数据帧和连接。
提高准确性：协议分析技术与非智能型模式匹配IDS系统相比，有少得多的错误诊断和误报。新技术将命令解析技术与协议分析技术相结合，来模拟执行一个命令字符串，可以在通信连接到达操作系统或应用系统之前准确判断该通信是否恶意。
基于状态分析：基于协议分析技术的IDS引擎评估一个数据包时，它考虑数据包的前后关系。与之相对，基于模式匹配的IDS系统独立检查每一个数据包。
抗IDS躲避：基于协议分析技术的IDS引擎能够判断一个通信的实际内容及含义，它们不太容易受到黑客IDS躲避技术的影响。
低资源消耗：基于协议分析技术的IDS的有效性和准确性带来的直接益处是对系统资源的极低消耗。
最近，中国安氏（iS-One）推出了入侵检测系统LinkTrust IDS 6.6。这种新一代入侵检测系统集合了“高速数据包捕获＋协议分析与命令解析+特征模式匹配”技术来检测攻击。这些技术提高了入侵检测系统（包括基于主机和基于网络）的技术水平和应用能力。通过新技术和新架构的实现，它们解决了当前IDS应用中的几个瓶颈问题：准确性；性能；与其他安全系统的集成以及服务与支持能力。

特征模式匹配技术特点：检测慢、不准确、消耗系统资源

协议分析技术特点：检测快、准确、资源消耗少

通信协议不是一个随机变换的字节流。一个通信协议是一个高度规则的系统，人们知道很多关于数据包中数据值的结构。数据包中的字节符合一套广泛并详细的规则。