網絡安全之入侵檢測技術

作者：時間：2012-08-08 來源：網絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

(2) 針對IDS自身的攻擊無法防護;

本文引用地址：http://cqxgywz.com/article/154189.htm

(3) 不能實現加密、殺毒功能;

(4) 檢測到入侵，只進行告警，而無阻斷等。

IDS和防火墻均具備對方不可代替的功能，因此在很多應用場景中，IDS與防火墻共存，形成互補。

根據網絡規模的不同，IDS有三種部署場景：小型網絡中，IDS旁路部署在Internet接入路由器之后的第一臺交換機上，如圖5所示;中型網絡中，采用圖6的方式部署;大型網絡采用圖7的方式部署。

圖5 小型網絡部署

圖6 中型網絡部署

圖7 大型網絡部署

4、IDS硬件體系架構分析

主流的IDS的體系架構分為X86、NP、ASIC、FPGA及混合架構，對各體系架構的原理及特點介紹如下。

4.1 X86架構

X86架構采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，是早期防火墻、入侵防護系統開發的主要平臺。其安全功能主要由軟件實現，可以根據用戶的實際需要而做相應調整，增加或減少功能模塊，產品比較靈活，功能十分豐富?；谶@一架構產品開發周期短，成本低，是絕大多數網絡安全廠商的選擇。但其性能發展卻受到體系結構的制約，作為通用的計算平臺，X86的結構層次較多，不易優化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量，但是由于通用CPU的處理能力有限，盡管軟件部分可以盡可能地優化，但實際很難達到高速率和低時延。

4.2 NP架構

網絡處理器(NP)技術，NP是專門為網絡設備處理網絡流量而設計的處理器，體系結構如圖8所示。其體系結構和指令集對于入侵檢測系統和防火墻常用的包過濾、轉發等算法和操作都進行了專門的優化，可以高效地完成TCP/IP棧的常用操作，并對網絡流量進行快速的并發處理。硬件結構設計也大多采用高速的接口技術和總線規范，具有較高的I/O能力。然而，NP的弱點也比較明顯，其在4-7層的數據處理上相對較弱。在檢測策略比較復雜(如入侵防護系統所用的檢測策略)的情況下，吞吐速率有明顯下降，時延明顯。

圖8 網絡處理器架構

4.3 ASIC架構

相比之下，ASIC通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了安全產品的性能。新一代的高可編程ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發費用高，開發周期太長，一般耗時接近2年。雖然研發成本較高、靈活性受限制、無法支持太多的功能，但其性能具有先天的優勢，非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。

4.4 FPGA架構

相對于NP，FPGA是對數據進行高速并行處理的器件，具有更強的靈活性和擴展性。在IDS中FPGA擅長把一些安全特征轉化成邏輯，在實現過程中能夠同時匹配上千條規則，其并行速度超過普通CPU，而且相對于并行ASIC，其靈活性占有較大優勢。如圖9所示為FPGA架構典型應用。其中SPC表示：Services Processing Card;NPC表示：Network Processing Card。

圖9 FPGA架構應用

4.5混合架構

混合體系架構，即由ASIC+NP+FPGA集成。典型的安全廠商如：McAfee，其網絡安全平臺創新地采用這一架構，通過AVERT組織設計的ASIC，把指令或計算邏輯固化到芯片中，獲得了高速的協議和檢測處理能力。使用NP處理SSL加密通信、拒絕服務攻擊等消耗計算資源的功能;采用FPGA芯片保證產品的更新升級。FPGA顧名思義就是器件可編程，因而能輕松升級，很好地滿足需求變化，延長了產品壽命，有助于網絡安全設備跟蹤標準和協議的持續變化。同時，FPGA有一定的預留性，一般情況下只用到其容量的20%左右，可充分保證日后升級所用。

5、IDS產品測評技術介紹

目前，市場上存在各種各樣的IDS設備，而且各個設備的性能和價格都不盡相同，具體實現方式也存在差異，如何才能找到性價比高、適合自己的IDS設備成為各個公司所關心的問題。對各款IDS設備進行測試評估，是解決這個問題的最可靠的途徑。而且經常性的測試評估有利于及時了解技術發展現狀和存在的不足。

5.1依據資質進行篩選

在測試前，我們可以先看看測試的IDS產品取得了哪些認證。目前國內主要有4家信息安全產品的認證機構，分別是公安部計算機信息系統安全產品質量監督檢驗中心、國家保密局涉密信息系統安全保密測評中心、中國人民解放軍信息安全測評認證中心、中國國家信息安全測評認證中心。

這4家認證機構中，公安部的認證對IDS產品來說是必須的，通過了公安部的認證，才能領取計算機安全專用產品銷售許可證。

5.2確定重要評價指標

如果需要測評的IDS有經過上面的多家認證機構的認證之后，說明質量基本是沒有問題的。但是很多時候我們需要一款適合自己的產品，好并不代表適合。所以，我們需要測試IDS產品的各個方面的性能，對其有全面的了解。評測IDS的指標主要有：及時性、準確性、完備性、健壯性、處理性能、易用性。