如何解决IDS问题?

发表于:2007-06-23来源:作者:点击数: 标签:
著名评估机构Gartner认为,IDS对 网络安全 几乎没有意义。传统的IDS系统误报太多,且不能检查出未知的威胁。它在高速环境中容易受到威胁,在连续模式匹配方案中也有困难。为此,Gartner建议用户放弃IDS,转而把资金投向防火墙等更好的策略。 IDS存在的隐患

   
  著名评估机构Gartner认为,IDS对网络安全几乎没有意义。传统的IDS系统误报太多,且不能检查出未知的威胁。它在高速环境中容易受到威胁,在连续模式匹配方案中也有困难。为此,Gartner建议用户放弃IDS,转而把资金投向防火墙等更好的策略。
  

  IDS存在的隐患
  
  误报漏报率太高。IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测。而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,成本将是用户无法承受的。再比如在异常检测中,各种协议变体、过多的IP分片和异常TCP分段都有可能导致IDS误报。
  
  没有主动防御能力。IDS技术是一种预设置式的工作方式,特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新,所以这永远是亡羊补牢,被动防守。
  
  缺乏准确定位和处理机制。IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。缺乏更有效的响应处理机制。
  
  性能普遍不足。现在市场上的IDS产品大多采用的是特征检测技术,这类产品是专门为小于100M的共享式网络环境设计的。现在,这种IDS产品已经不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击。
  
  联动思想应运而生
  
  IDS是否真的没有存在的必要呢?显然不是,如果把防火墙比作大门的话,那么IDS设备就如同监控系统。显然,无论大门如何坚固,我们都不能拆除内部监控系统。那么面对IDS的不足,我们该如何应对呢?
  
  换个角度来考虑这个问题,可以看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,网络设备与IDS设备联动思想就应运而生。
  
  为了弥补这些缺陷,IDS与新一代智能化的网络交换设备联动成为最佳选择。
  
  IDS与网络交换设备联动是指,交换机在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,并发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确端口的关闭和断开。
  
  这种智能交换机的主要特点,应该是能支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能,同时具备线速交换、稳定商用等特性。IDS与网络交换设备联动,可以降低IDS误报漏报率、主动防御、准确事件定位和响应、 优化IDS性能。
  
  IDS作为网络安全系统必不可少的一部分,应用领域在迅速扩大,技术走向也日益明朗,从IDS(入侵检测)向IPS(入侵防御)发展成为必然,但目前并没有完善的IPS解决方案和设备。
  
  港湾网络智能交换设备已经与多家IDS系统进行了互通测试,并在海关、电子政务等网络中开始实际应用。港湾网络认为,在IDS向IPS发展历程中,通过智能交换机对IDS的补充,是一个非常实际而且不会给用户带来任何额外投资的理想过渡方案。

原文转自:http://www.ltesting.net