構成
網路入侵檢測系統通常包括三個必要的功能組件:信息來源、分析引擎和回響組件。
信息來源:它負責收集被檢測網路或系統的各種信息,並把這些信息作為資料提供給IDS分析引擎組件。
分析引擎:它利用統計或規則的方式找出可能的入侵行為,並將事件提供給下面的回響組件。
回響組件:它根據分析引擎的輸出採取應有的行為,通常具有自動化機制,如主動通知系統管理員、中斷入侵者的連線和蒐集入侵信息等。
功能
(1)監測並分析用戶和系統的活動。
(2)核查系統配置和漏洞。
(3)評估系統關鍵資源和數據檔案的完整性。
(4)識別已知的攻擊行為。
(5)統計分析異常行為。
(6)作業系統日誌管理,並識別違反安全策略的用戶活動。
優點
(1)能夠檢測那些來自網路的攻擊和超過授權的非法訪問。
(2)不需要改變伺服器等主機的配置,也不會影響主機性能。由於這種檢測技術不會在業務系統的主機中安裝額外的軟體,從而不會影響這些機器的CPU、I/O與磁碟等資源的使用,不會影響業務系統的性能。
(3)風險低。由於網路入侵檢測系統不像路由器、防火牆等關鍵設備那樣會成為系統中的一個關鍵路徑,所以網路入侵檢測系統發生故障時不會影響正常業務的運行。
(4)配置簡單。網路入侵檢測系統近年來有向專門設備發展的趨勢,安裝這樣的一個網路入侵檢測系統非常方便,只需將定製的設備接上電源,做很少一些配置,將其連到網路上即可。
不足
(1)誤/漏報率高。入侵檢測系統(IDS)常用的檢測方法有特徵檢測、異常檢測、狀態檢測和協定分析等,這些檢測方式都存在一定的缺陷。因此,從技術上講,IDS系統在識別大規模的組合式、分散式的入侵攻擊方面,還沒有較好的方法和成熟的解決方案,誤報與漏報現象嚴重,用戶往往被淹沒在海量的報警信息中,而漏掉真正的報警。
(2)沒有主動防禦能力。IDS技術採用了一種預置式、特徵分析式工作原理,所以檢測規則的更新總是落後於攻擊手段的更新。
(3)缺乏準確定位和處理機制。IDS僅能識別IP位址,無法定位IP位址,不能識別數據來源。IDS在發現攻擊事件的時候,只能關閉網路出口和伺服器等少數連線埠,但這樣關閉同時也會影響其他正常用戶的使用,缺乏更有效的回響處理機制。
(4)性能普遍不足。現在市場上的IDS產品大多採用的是特徵檢測技術,這種IDS產品已不能適應交換技術和高頻寬環境的發展,在大流量衝擊、多IP分片的情況下可能造成IDS的癱瘓或丟包,形成DoS攻擊。
