網(wǎng)絡(luò)安全之入侵檢測(cè)技術(shù)
(2) 針對(duì)IDS自身的攻擊無法防護(hù);
本文引用地址:http://butianyuan.cn/article/154189.htm(3) 不能實(shí)現(xiàn)加密、殺毒功能;
(4) 檢測(cè)到入侵,只進(jìn)行告警,而無阻斷等。
IDS和防火墻均具備對(duì)方不可代替的功能,因此在很多應(yīng)用場(chǎng)景中,IDS與防火墻共存,形成互補(bǔ)。
根據(jù)網(wǎng)絡(luò)規(guī)模的不同,IDS有三種部署場(chǎng)景:小型網(wǎng)絡(luò)中,IDS旁路部署在Internet接入路由器之后的第一臺(tái)交換機(jī)上,如圖5所示;中型網(wǎng)絡(luò)中,采用圖6的方式部署;大型網(wǎng)絡(luò)采用圖7的方式部署。
圖5 小型網(wǎng)絡(luò)部署
圖6 中型網(wǎng)絡(luò)部署
圖7 大型網(wǎng)絡(luò)部署
4、IDS硬件體系架構(gòu)分析
主流的IDS的體系架構(gòu)分為X86、NP、ASIC、FPGA及混合架構(gòu),對(duì)各體系架構(gòu)的原理及特點(diǎn)介紹如下。
4.1 X86架構(gòu)
X86架構(gòu)采用通用CPU和PCI總線接口,具有很高的靈活性和可擴(kuò)展性,是早期防火墻、入侵防護(hù)系統(tǒng)開發(fā)的主要平臺(tái)。其安全功能主要由軟件實(shí)現(xiàn),可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整,增加或減少功能模塊,產(chǎn)品比較靈活,功能十分豐富。基于這一架構(gòu)產(chǎn)品開發(fā)周期短,成本低,是絕大多數(shù)網(wǎng)絡(luò)安全廠商的選擇。但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約,作為通用的計(jì)算平臺(tái),X86的結(jié)構(gòu)層次較多,不易優(yōu)化,且往往會(huì)受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達(dá)到接近2Gbps的吞吐量,但是由于通用CPU的處理能力有限,盡管軟件部分可以盡可能地優(yōu)化,但實(shí)際很難達(dá)到高速率和低時(shí)延。
4.2 NP架構(gòu)
網(wǎng)絡(luò)處理器(NP)技術(shù),NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器,體系結(jié)構(gòu)如圖8所示。其體系結(jié)構(gòu)和指令集對(duì)于入侵檢測(cè)系統(tǒng)和防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu)化,可以高效地完成TCP/IP棧的常用操作,并對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范,具有較高的I/O能力。然而,NP的弱點(diǎn)也比較明顯,其在4-7層的數(shù)據(jù)處理上相對(duì)較弱。在檢測(cè)策略比較復(fù)雜(如入侵防護(hù)系統(tǒng)所用的檢測(cè)策略)的情況下,吞吐速率有明顯下降,時(shí)延明顯。
圖8 網(wǎng)絡(luò)處理器架構(gòu)
4.3 ASIC架構(gòu)
相比之下,ASIC通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過把指令或計(jì)算邏輯固化到芯片中,獲得了很高的處理能力,因而明顯提升了安全產(chǎn)品的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì),能夠通過軟件改變應(yīng)用邏輯,具有更廣泛的適應(yīng)能力。但是,ASIC的缺點(diǎn)也同樣明顯,它的靈活性和擴(kuò)展性不夠,開發(fā)費(fèi)用高,開發(fā)周期太長(zhǎng),一般耗時(shí)接近2年。 雖然研發(fā)成本較高、靈活性受限制、無法支持太多的功能,但其性能具有先天的優(yōu)勢(shì),非常適合應(yīng)用于模式簡(jiǎn)單、對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處理。
4.4 FPGA架構(gòu)
相對(duì)于NP,F(xiàn)PGA是對(duì)數(shù)據(jù)進(jìn)行高速并行處理的器件,具有更強(qiáng)的靈活性和擴(kuò)展性。在IDS中FPGA擅長(zhǎng)把一些安全特征轉(zhuǎn)化成邏輯,在實(shí)現(xiàn)過程中能夠同時(shí)匹配上千條規(guī)則,其并行速度超過普通CPU,而且相對(duì)于并行ASIC,其靈活性占有較大優(yōu)勢(shì)。如圖9所示為FPGA架構(gòu)典型應(yīng)用。其中SPC表示:Services Processing Card;NPC表示:Network Processing Card。
圖9 FPGA架構(gòu)應(yīng)用
4.5混合架構(gòu)
混合體系架構(gòu),即由ASIC+NP+FPGA集成。典型的安全廠商如:McAfee,其網(wǎng)絡(luò)安全平臺(tái)創(chuàng)新地采用這一架構(gòu),通過AVERT組織設(shè)計(jì)的ASIC,把指令或計(jì)算邏輯固化到芯片中,獲得了高速的協(xié)議和檢測(cè)處理能力。使用NP處理SSL加密通信、拒絕服務(wù)攻擊等消耗計(jì)算資源的功能;采用FPGA芯片保證產(chǎn)品的更新升級(jí)。FPGA顧名思義就是器件可編程,因而能輕松升級(jí),很好地滿足需求變化,延長(zhǎng)了產(chǎn)品壽命,有助于網(wǎng)絡(luò)安全設(shè)備跟蹤標(biāo)準(zhǔn)和協(xié)議的持續(xù)變化。同時(shí),F(xiàn)PGA有一定的預(yù)留性,一般情況下只用到其容量的20%左右,可充分保證日后升級(jí)所用。
5、IDS產(chǎn)品測(cè)評(píng)技術(shù)介紹
目前,市場(chǎng)上存在各種各樣的IDS設(shè)備,而且各個(gè)設(shè)備的性能和價(jià)格都不盡相同,具體實(shí)現(xiàn)方式也存在差異,如何才能找到性價(jià)比高、適合自己的IDS設(shè)備成為各個(gè)公司所關(guān)心的問題。對(duì)各款I(lǐng)DS設(shè)備進(jìn)行測(cè)試評(píng)估,是解決這個(gè)問題的最可靠的途徑。而且經(jīng)常性的測(cè)試評(píng)估有利于及時(shí)了解技術(shù)發(fā)展現(xiàn)狀和存在的不足。
5.1依據(jù)資質(zhì)進(jìn)行篩選
在測(cè)試前,我們可以先看看測(cè)試的IDS產(chǎn)品取得了哪些認(rèn)證。目前國(guó)內(nèi)主要有4家信息安全產(chǎn)品的認(rèn)證機(jī)構(gòu),分別是公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心、中國(guó)人民解放軍信息安全測(cè)評(píng)認(rèn)證中心、中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心。
這4家認(rèn)證機(jī)構(gòu)中,公安部的認(rèn)證對(duì)IDS產(chǎn)品來說是必須的,通過了公安部的認(rèn)證,才能領(lǐng)取計(jì)算機(jī)安全專用產(chǎn)品銷售許可證。
5.2確定重要評(píng)價(jià)指標(biāo)
如果需要測(cè)評(píng)的IDS有經(jīng)過上面的多家認(rèn)證機(jī)構(gòu)的認(rèn)證之后,說明質(zhì)量基本是沒有問題的。但是很多時(shí)候我們需要一款適合自己的產(chǎn)品,好并不代表適合。所以,我們需要測(cè)試IDS產(chǎn)品的各個(gè)方面的性能,對(duì)其有全面的了解。評(píng)測(cè)IDS的指標(biāo)主要有:及時(shí)性、準(zhǔn)確性、完備性、健壯性、處理性能、易用性。
評(píng)論