網路入侵檢測系統

網路入侵檢測系統

網路入侵檢測系統(network intrusion detection system,NIDS),是指對收集漏洞信息、造成拒絕訪問及獲取超出合法範圍的系統控制權等危害計算機系統安全的行為,進行檢測的軟體與硬體的組合。 NIDS的目的是從網路上的TCP/IP訊息流中識別出潛在的攻擊行為。

構成

網路入侵檢測系統通常包括三個必要的功能組件:信息來源、分析引擎和回響組件。

信息來源:它負責收集被檢測網路或系統的各種信息,並把這些信息作為資料提供給IDS分析引擎組件。

分析引擎:它利用統計或規則的方式找出可能的入侵行為,並將事件提供給下面的回響組件。

回響組件:它根據分析引擎的輸出採取應有的行為,通常具有自動化機制,如主動通知系統管理員、中斷入侵者的連線和蒐集入侵信息等。

功能

(1)監測並分析用戶和系統的活動。

(2)核查系統配置和漏洞。

(3)評估系統關鍵資源和數據檔案的完整性。

(4)識別已知的攻擊行為。

(5)統計分析異常行為。

(6)作業系統日誌管理,並識別違反安全策略的用戶活動。

優點

(1)能夠檢測那些來自網路的攻擊和超過授權的非法訪問。

(2)不需要改變伺服器等主機的配置,也不會影響主機性能。由於這種檢測技術不會在業務系統的主機中安裝額外的軟體,從而不會影響這些機器的CPU、I/O與磁碟等資源的使用,不會影響業務系統的性能。

(3)風險低。由於網路入侵檢測系統不像路由器、防火牆等關鍵設備那樣會成為系統中的一個關鍵路徑,所以網路入侵檢測系統發生故障時不會影響正常業務的運行。

(4)配置簡單。網路入侵檢測系統近年來有向專門設備發展的趨勢,安裝這樣的一個網路入侵檢測系統非常方便,只需將定製的設備接上電源,做很少一些配置,將其連到網路上即可。

不足

(1)誤/漏報率高。入侵檢測系統(IDS)常用的檢測方法有特徵檢測、異常檢測、狀態檢測和協定分析等,這些檢測方式都存在一定的缺陷。因此,從技術上講,IDS系統在識別大規模的組合式、分散式的入侵攻擊方面,還沒有較好的方法和成熟的解決方案,誤報與漏報現象嚴重,用戶往往被淹沒在海量的報警信息中,而漏掉真正的報警。

(2)沒有主動防禦能力。IDS技術採用了一種預置式、特徵分析式工作原理,所以檢測規則的更新總是落後於攻擊手段的更新。

(3)缺乏準確定位和處理機制。IDS僅能識別IP位址,無法定位IP位址,不能識別數據來源。IDS在發現攻擊事件的時候,只能關閉網路出口和伺服器等少數連線埠,但這樣關閉同時也會影響其他正常用戶的使用,缺乏更有效的回響處理機制。

(4)性能普遍不足。現在市場上的IDS產品大多採用的是特徵檢測技術,這種IDS產品已不能適應交換技術和高頻寬環境的發展,在大流量衝擊、多IP分片的情況下可能造成IDS的癱瘓或丟包,形成DoS攻擊。

相關詞條

相關搜尋

熱門詞條

聯絡我們