| |
入侵检测系统,顾名思义,就是能够及时发现入侵行为的系统。它通过对网络中的若干关键点收集网络数据信息并对其进行分析,从中鉴别网络中违反安全策略的行为和被攻击的迹象。与其他安全产品相比,入侵检测系统需要更加智能,而不是像防火墙只是判断这些数据符不符合安全策略。一个好的入侵检测系统能大大的提高网络安全系数。
防火墙并不安全
防火墙是长期以来保障网络安全最常用的工具。它是一种用来加强网络之间访问控制的特殊网络互连设备,它对内部网络和外部网络之间传输的数据按照设定的安全策略对其进行检查,来决定哪些数据非法。这样有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
如图1所示,一般防火墙系统分为两层,内层是带包过滤功能的路由器,外层是代理服务器。包过滤防火墙只接受代理服务器发出的服务请求和内部网络发起的服务连接,代理服务器负责向公共网用户提供内部网络允许的网络服务。
图1
包过滤和代理技术的双层防火墙系统,从一定程度上提高了系统的安全性。但它主要是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源,如果使用得当,可以在很大程度上提高网络安全性能,但是防火墙虽然能对外部网络的攻击进行有效的防护,但对来自内部网络的攻击却无能为力,事实上据统计 60 %以上的网络安全问题来自内部网络,而且网络程序和网络管理系统中可能存在缺陷。因此网络安全单靠防火墙技术是不够的。
因为防火墙有它自身的局限:
1.有欠灵活
防火墙是通过严格限制进出流来保障网络安全的。但是这样不可避免就会造成网络本身过于封闭,很多服务如Telnet,FTP...会被屏蔽掉。
2.家贼难防
防火墙所执行的任务是把住大门,防止外部用户非法获得敏感数据或者非法操作。可是它对内部用户的行为毫无约束。这时内部用户无法无天也就不奇怪了。
3.后门失守
防火墙把的是大门,可如果本网络有后门呢,且又被控制了呢?这时防火墙形同虚设。
防火墙有这么多的局限,这时人们就想到了“主动出击”,派出“入侵检测系统”进驻公司内部,在网络关键节点巡逻,随时揪出入侵之敌。
技术要求
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。
一个好的网络入侵检测系统至少应满足这些功能要求:
1、实时性:
如果网络攻击或者攻击的企图尽快的被发现,这就有可能阻止进一步的攻击活动,有可能把损失控制在最小限度。实时入侵检测可以避免常规情况下,管理员通过对系统日志进行审计以辨别入侵行为时的低效和延迟。
2、可扩展性:
一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时,可以通过某种机制在无需对入侵检测系统本身进行改动的情况下,使系统能够检测到新的攻击行为。并且在入侵检测系统的整体功能设计上,也必须建立一种可以扩展的结构,以便系统结构本身能够适应未来可能出现的扩展要求。
3、事件记录:
作为一个完备的网络入侵检测系统,对于检测到的入侵事件必须具备完善的日志记录和日志审计功能。
4、安全性:
入侵检测系统必须尽可能的完善与健壮,不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。
5、有效性与易用性:
能够保证设计的网络入侵检测系统是切实有效的,即对于攻击行为的错报与漏报能够控制在一定范围内。并且系统应该是友好的,简洁易用的。 |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
