网络安全之入侵检测技术
网络安全领域中的入侵检测技术
网络安全领域中的入侵检测技术随着互联网的发展,网络安全成为人们极为关注的问题。
入侵检测技术是网络安全领域中的一个重要分支,它可以帮助我们发现网络中的攻击行为。
在本文中,我们将讨论入侵检测技术的一些基本概念、技术原理以及应用现状。
一、入侵检测技术的基本概念入侵检测技术(Intrusion Detection Technology,IDT)是指基于一定的规则或模型,利用计算机技术对网络中的攻击行为进行检测、识别和报告的技术。
入侵检测技术主要分为两种:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
1. 基于主机的入侵检测系统基于主机的入侵检测系统是一种利用主机上的日志、配置和文件等信息来检测并识别攻击行为的技术。
它可以监测主机的各种事件,如登录、文件修改、进程创建等等,以此来发现恶意行为。
基于主机的入侵检测系统通常运行在被保护的主机上,可以及时发现、记录和报告异常事件。
2. 基于网络的入侵检测系统基于网络的入侵检测系统是一种利用网络中的数据包来检测并识别攻击行为的技术。
它可以监测网络中的数据流,依据规则或模型来判断是否存在异常数据流,以此来发现攻击行为。
基于网络的入侵检测系统通常部署在网络上的节点上,可以发现整个网络中的异常行为。
二、入侵检测技术的技术原理入侵检测技术的核心是识别网络中的恶意行为。
入侵检测技术根据检测对象的不同,其技术原理也有所不同。
1. 基于主机的入侵检测技术原理基于主机的入侵检测技术原理是利用主机上的系统日志、配置和文件等信息,通过分析这些信息来监测主机的各种事件。
基于主机的入侵检测技术可以分为两类:基于签名检测和基于行为分析。
基于签名检测的入侵检测技术是利用已知的攻击特征来进行匹配,以此来判断是否存在攻击行为。
网络安全的入侵检测方法
网络安全的入侵检测方法随着互联网的广泛应用和发展,网络安全问题日益受到关注。
网络入侵已经成为网络安全的一个重要环节。
为了保护网络安全,我们需要有效的入侵检测方法。
本文将介绍几种常用的网络安全的入侵检测方法。
一、基于特征的入侵检测方法基于特征的入侵检测方法是通过分析已知的攻击特征,实现对入侵行为的检测。
这种方法的核心是构建特征数据库,将各种已知攻击的特征进行收集和分类。
当网络中出现与这些特征相似的行为时,就可以判定为入侵行为。
二、基于异常行为的入侵检测方法基于异常行为的入侵检测方法是通过监视网络流量、主机活动等,检测出与正常行为不一致的异常行为。
这种方法的核心是建立对正常行为的模型,当网络中出现与模型不一致的行为时,就可以判定为入侵行为。
三、基于机器学习的入侵检测方法基于机器学习的入侵检测方法是利用机器学习算法对网络流量、主机活动等数据进行分析和学习,建立模型来判断是否存在入侵行为。
该方法可以通过对大量数据的学习和训练,提高入侵检测的准确性和效率。
四、基于行为规则的入侵检测方法基于行为规则的入侵检测方法是制定一系列网络安全策略和规则,通过监控网络活动,检测与规则不符的行为,判断是否存在入侵行为。
这种方法的核心是对网络行为进行规范和规则制定,通过与规则进行比对来进行入侵检测。
五、混合入侵检测方法混合入侵检测方法是将多种入侵检测方法结合起来,通过综合分析多个入侵检测方法的结果,提高入侵检测的准确性和可靠性。
这种方法可以综合利用各种入侵检测方法的优点,弥补单一方法的不足,提高入侵检测的效果。
总结:网络安全的入侵检测是确保网络安全的重要环节。
本文介绍了几种常用的入侵检测方法,包括基于特征、异常行为、机器学习、行为规则等不同的方法。
每种方法都有其优点和适用场景,可以通过综合应用来提高入侵检测的效果。
在实际应用中,也可以根据具体情况结合使用多种方法,以更好地保护网络安全。
网络安全入侵检测方法的发展是一个不断演进和改进的过程,我们需要不断关注最新的技术和方法,及时更新和优化入侵检测策略,以应对不断变化的网络安全威胁。
网络安全中的入侵检测与溯源技术
网络安全中的入侵检测与溯源技术网络安全是当今互联网时代一个备受关注的议题。
随着网络技术的飞速发展和互联网的广泛应用,网络空间的威胁也日益增加。
入侵检测与溯源技术作为网络安全的重要组成部分,可以帮助防范和打击各种网络攻击行为。
本文将介绍入侵检测与溯源技术的概念、发展及应用,旨在提高读者对网络安全的认识和理解。
一、入侵检测技术的概念与分类入侵检测技术(Intrusion Detection System,简称IDS)是网络安全的重要组成部分之一,旨在检测和防范网络中的入侵行为。
入侵指的是未经授权的人或程序获取或破坏计算机系统的资源和信息。
入侵检测技术可以分为基于统计的入侵检测和基于行为的入侵检测两种主要类型。
基于统计的入侵检测方法是根据过去的攻击样本和统计模型来检测新的未知攻击。
它通过对网络流量的分析,寻找异常行为或特定模式来识别入侵。
这种方法的优势是能够及时发现已知的攻击类型,但对于新型攻击缺乏有效防范能力。
基于行为的入侵检测方法则通过对网络流量和系统行为进行分析,寻找与正常行为模式不符的行为特征,从而识别入侵行为。
这种方法能够有效应对未知攻击,但也有一定的误报率和漏报率。
二、入侵检测技术的发展与应用随着网络攻击的不断演进和复杂化,入侵检测技术也在不断发展和完善。
目前,主要的入侵检测技术包括基于规则的入侵检测系统(Rule-based IDS)、基于异常的入侵检测系统(Anomaly-based IDS)和基于深度学习的入侵检测系统(Deep-learning-based IDS)。
基于规则的入侵检测系统是最早被广泛应用的入侵检测技术之一。
它通过事先定义一系列规则来识别入侵行为,并在发现匹配规则的行为时进行警报或阻断。
这种方法适用于已知攻击类型的检测,但对于未知的攻击缺乏有效防御能力。
基于异常的入侵检测系统则以正常行为模式为基准,通过对网络流量和系统行为的实时监测和分析,寻找与正常行为模式不符的异常行为特征来识别入侵。
网络安全中的入侵检测技术研究及应用实例
网络安全中的入侵检测技术研究及应用实例随着互联网的快速发展,网络安全已经成为了一个全球性的关注话题。
随之而来的是对入侵检测技术的需求不断增长。
入侵检测是一种通过对网络流量和系统活动进行监控和分析的方法,以识别和阻止未经授权的访问和恶意活动。
本文将介绍入侵检测技术的研究现状,并以应用实例来说明其在网络安全中的重要作用。
首先,我们来了解一下入侵检测技术的分类。
根据监测的目标,入侵检测可分为主机入侵检测和网络入侵检测。
主机入侵检测主要关注在单个主机上的异常活动,例如文件篡改、恶意软件的安装等;而网络入侵检测则更关注网络流量中的异常行为和攻击行为。
另外,入侵检测技术的基本分类包括基于特征的检测和基于异常的检测。
基于特征的入侵检测技术使用事先确定的攻击行为特征来识别入侵活动。
这需要建立一个广泛的攻击数据库,其中包含已知的攻击特征。
当网络流量或系统活动与攻击特征匹配时,入侵检测系统会发出警报。
这种方法的优点是准确度较高,能够精确识别特定类型的攻击。
然而,它也存在无法检测新型攻击的问题。
因为该方法仅能识别已知的攻击特征,对于未知的攻击行为,它就无能为力了。
相比之下,基于异常的入侵检测技术更加灵活和全面。
它通过建立正常行为的模型,然后检测流量或系统活动与模型的偏差程度,来识别异常行为。
这种方法不依赖于已知的攻击特征,可以检测新型攻击和零日攻击。
然而,这种方法容易受到误报的困扰,因为正常的操作也可能产生异常。
因此,如何准确地构建正常行为模型成为了一项关键的工作。
在实际应用中,入侵检测技术可以结合多种方法和技术来提高准确度和效果。
例如,机器学习和人工智能的应用为入侵检测带来了新的思路。
这些技术可以对大量的数据进行分析和学习,识别未知的攻击和异常行为。
同时,入侵检测技术还可以与防火墙、入侵防御系统等其他安全措施进行配合,形成完整的网络安全解决方案。
为了更好地理解入侵检测技术在实际应用中的作用,我们来看一个应用实例。
假设某个公司的网络遭到了DDoS攻击,即分布式拒绝服务攻击。
网络安全中的入侵检测和防御
网络安全中的入侵检测和防御随着互联网的普及和应用,网络安全问题也越来越引起人们的关注。
网络入侵事件时有发生,给个人和企业带来了严重的经济损失和声誉影响。
在这种情况下,入侵检测和防御成为了网络安全的重要手段。
本文将介绍入侵检测和防御的原理、技术及其应用。
一、入侵检测1.入侵检测的概念和分类入侵检测是对计算机系统或网络的实时状态进行监测和分析,识别异常的行为或攻击行为,及时给出响应。
根据入侵检测的侧重点和对象,可以将其分为主机入侵检测(Host-based Intrusion Detection,HID)和网络入侵检测(Network Intrusion Detection,NID)两种类型。
主机入侵检测主要是对单个计算机系统进行检测,可以通过监测系统日志、进程和文件等方式来识别异常行为;而网络入侵检测则是对整个网络的流量和数据包进行监测,识别异常的数据包和流量分析。
2.入侵检测的原理和技术入侵检测主要依靠对系统日志、网络流量和进程等进行监测和分析,识别异常的行为或攻击行为。
入侵检测涉及的技术有很多,如基于规则的检测、基于统计的检测、基于人工智能的检测等,具体可根据不同的使用场景和需求进行选择。
基于规则的检测是指通过事先定义的规则对系统或网络进行监测和分析,一旦有符合规则的异常行为出现就给出警报。
例如,如果在企业内部出现未授权的数据访问行为,就会触发事先定义的规则,弹出警报通知管理员。
这种方法优势是检测速度快、效果稳定,但限制在规则定义上,无法应对新型威胁。
基于统计的检测是指通过收集系统或网络的参数数据,建立基准模型,并对新的数据进行比对和分析,检测出异常行为或攻击行为。
例如,对于数据库的访问次数和数据量等进行统计和分析,识别异常的访问行为。
这种方法的优势是处理大量数据准确性高,但需要大量的参数数据和设计精细的统计算法。
基于人工智能的检测则是利用机器学习和人工智能技术,对异常行为进行分类和预测,自适应学习模型,识别隐藏的威胁。
入侵检测技术名词解释
入侵检测技术名词解释入侵检测技术是指一种用于检测网络安全漏洞、攻击、恶意软件和其他安全威胁的技术。
它可以检测网络中的异常活动,例如未经授权的访问、数据泄露、网络攻击等。
入侵检测技术通常由一系列算法和工具组成,用于分析网络数据包、检测恶意软件的行为和识别潜在的安全漏洞。
以下是入侵检测技术的一些主要名词解释:1. 入侵检测系统(IDS):是一种能够检测网络安全威胁的计算机系统,通常使用算法和规则来检测异常活动,例如IP地址欺骗、SYN洪水、恶意软件等。
2. 入侵防御系统(IDS):是一种能够防止网络安全威胁的计算机系统,通常使用算法和规则来检测和阻止未经授权的访问、攻击和其他安全威胁。
3. 入侵者分析器(IA):是一种用于分析网络数据包的计算机系统,可以检测和识别潜在的安全漏洞和恶意软件。
4. 漏洞扫描器:是一种用于扫描网络和系统漏洞的计算机系统,可以检测和识别系统中的漏洞,以便及时修复。
5. 行为分析器:是一种用于分析网络和系统行为的工具,可以检测和识别恶意软件和其他安全威胁。
6. 漏洞报告器:是一种用于向管理员报告漏洞的计算机系统,以便及时修复。
7. 防火墙:是一种用于保护网络和系统的设备,可以过滤网络流量并防止未经授权的访问。
8. 入侵检测和响应计划:是一种用于检测和响应网络安全威胁的系统和计划,通常包括一个IDS和一个IPS(入侵防御系统)的组合,以保护网络和系统免受入侵者的攻击。
随着网络安全威胁的不断增多,入侵检测技术也在不断发展和改进。
IDS和IPS技术已经越来越成熟,并且可以通过结合其他技术和工具来提高其检测和响应能力。
入侵检测技术不仅可以用于个人网络,还可以用于企业、政府机构和其他组织的网络安全。
入侵检测技术在网络安全中的应用与研究
入侵检测技术在网络安全中的应用与研究在当今数字化的时代,网络已经成为人们生活和工作中不可或缺的一部分。
然而,随着网络的广泛应用,网络安全问题也日益凸显。
入侵检测技术作为网络安全防护的重要手段之一,对于保护网络系统的安全、稳定运行具有至关重要的意义。
一、入侵检测技术的概述入侵检测技术是一种通过对网络或系统中的数据进行实时监测和分析,以发现潜在的入侵行为和异常活动的技术。
它可以在系统遭受攻击之前或攻击过程中及时发出警报,以便管理员采取相应的措施来阻止攻击,降低损失。
入侵检测技术主要分为基于特征的检测和基于异常的检测两种类型。
基于特征的检测是通过将监测到的数据与已知的攻击特征库进行匹配来发现入侵行为,这种方法检测准确率高,但对于新型攻击和变种攻击的检测能力有限。
基于异常的检测则是通过建立正常的行为模型,当监测到的行为与正常模型偏差较大时判定为异常,从而发现潜在的入侵。
这种方法能够检测到未知的攻击,但误报率相对较高。
二、入侵检测技术在网络安全中的应用1、企业网络安全防护企业网络通常包含大量的敏感信息和重要业务数据,是黑客攻击的主要目标之一。
通过部署入侵检测系统,可以实时监测企业网络中的流量和活动,及时发现并阻止来自内部或外部的攻击,保护企业的知识产权、客户数据和财务信息等。
2、金融行业金融行业的网络系统涉及大量的资金交易和客户信息,对安全性要求极高。
入侵检测技术可以帮助金融机构防范网络欺诈、数据泄露和恶意软件攻击等,保障金融交易的安全和稳定。
3、政府机构政府机构的网络存储着大量的国家机密和重要政务信息,一旦遭受入侵,将带来严重的后果。
入侵检测技术能够加强政府网络的安全防护,及时发现和应对各类网络威胁,维护国家安全和社会稳定。
4、云计算环境随着云计算的普及,越来越多的企业将业务迁移到云端。
然而,云计算环境的复杂性和开放性也带来了新的安全挑战。
入侵检测技术可以应用于云平台,对虚拟机之间的流量和活动进行监测,保障云服务的安全性。
网络入侵检测技术解析
网络入侵检测技术解析网络入侵检测技术是指利用专门的软件系统或硬件设备对网络系统进行监控和分析,及时发现并阻止恶意攻击者对网络进行攻击或入侵的技术手段。
网络入侵检测技术在当今信息化社会中扮演着至关重要的角色,可以有效保护网络系统的安全和稳定。
一、网络入侵检测技术的分类1.主机入侵检测系统(HIDS)主机入侵检测系统是安装在单个主机上,用于监控和分析这台主机上的操作系统和应用程序的行为。
通过比对现有的攻击特征和异常行为,及时发现主机上的异常活动和潜在入侵,并采取相应的防御措施。
2.网络入侵检测系统(NIDS)网络入侵检测系统是部署在网络中的一种安全设备,通过监控网络流量和数据包的传输情况,检测网络中是否存在异常行为和攻击向量。
NIDS可以对整个网络进行实时监控,及时发现并阻止潜在的攻击行为。
3.基于行为的入侵检测技术(ABIDS)基于行为的入侵检测技术是一种新兴的入侵检测技术,主要通过对网络用户和设备的行为模式进行建模和监控,检测用户的异常行为和潜在的入侵威胁。
ABIDS可以有效识别零日漏洞和未知攻击,并提供更加全面的安全保护。
二、网络入侵检测技术的工作原理1.特征匹配网络入侵检测系统通过收集已知的攻击特征和恶意行为,建立特征库并与实际网络流量进行匹配比对,及时发现恶意流量和攻击行为。
特征匹配是网络入侵检测系统的基本工作原理,可以快速、准确地检测网络中的异常情况。
2.行为分析网络入侵检测系统通过监控网络用户和设备的行为模式,分析其正常的工作状态和动态变化情况,及时发现异常行为和可能的攻击行为。
行为分析技术可以提高网络入侵检测系统对未知攻击的识别能力,并提供更加全面的安全防护。
3.数据挖掘网络入侵检测系统通过对大量的网络数据进行挖掘和分析,发现隐藏在数据背后的规律和趋势,识别潜在的威胁和攻击行为。
数据挖掘技术可以帮助网络入侵检测系统更好地应对复杂的网络环境和威胁形势。
三、网络入侵检测技术的应用场景1.企业网络安全网络入侵检测技术可以帮助企业建立完善的网络安全系统,及时发现并阻止网络攻击和入侵行为,保护企业的核心数据和信息资产安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全之入侵检测技术Revised as of 23 November 2020网络安全之入侵检测技术标签:2012-07-31 14:07中国移动通信研究院卢楠摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。
在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。
本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。
最后,从应用需求出发分析入侵检测技术的未来发展趋势。
1、背景目前,互联网安全面临严峻的形势。
因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。
随着互联网技术的不断发展,网络安全问题日益突出。
网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。
当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁说到网络安全防护,最常用的设备是防火墙。
防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。
对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。
据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。
因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。
2、入侵检测技术发展历史IDS即入侵检测系统,其英文全称为:Intrusion Detection System。
入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS通用模型如图2所示。
图2 IDS 通用模型IDS诞生于1980年,到目前为止已经有30余年的历史,在这30余年中,IDS的发展经过了4个阶段。
第一阶段:概念诞生。
IDS这个概念诞生于1980年4月,James 为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测概念。
他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作。
第二阶段:模型发展。
从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL 的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。
该模型由六个部分组成:主题、对象、审计记录、轮廓特征、异常记录、活动规则,如图3所示。
它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。
1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型,并开发出了IDES。
该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。
图3 IDES结构框架第四阶段:继续演进。
IDS在90年代形成的IDS两大阵营的基础上,有了长足的发展,形成了更多技术及分类。
除了根据检测数据的不同分为主机型和网络型入侵检测系统外,根据采用的检测技术,入侵检测系统可以分为基于异常的入侵检测(Anomaly Detection,AD)和基于误用(特征)的入侵检测(Misuse Detection,MD)。
早期的IDS仅仅是一个监听系统或者提供有限的数据分析功能,而新一代IDS更是增加了应用层数据分析的能力;同时,其配合防火墙进行联动,形成功能互补,可更有效的阻断攻击事件。
现有的入侵检测技术的分类及相关关系如图4所示。
图4 入侵检测系统分类3、入侵检测应用场景与防火墙不同,IDS是一个监听设备,无需网络流量流经它,便可正常工作,即IDS采用旁路部署方式接入网络。
与防火墙相比IDS有如下优势:(1)IDS是旁路设备,不影响原有链路的速度;(2)由于具有庞大和详尽的入侵知识库,可以提供非常准确的判断识别,漏报和误报率远远低于防火墙;(3)对日志记录非常详细,包括:访问的资源、报文内容等;(4)无论IDS工作与否,都不会影响网络的连通性和稳定性;(5)能够检测未成功的攻击行为;(6)可对内网进行入侵检测等。
同时,与防火墙相比,其也具有如下的劣势:(1)检测效率低,不能适应高速网络检测;(2)针对IDS自身的攻击无法防护;(3)不能实现加密、杀毒功能;(4)检测到入侵,只进行告警,而无阻断等。
IDS和防火墙均具备对方不可代替的功能,因此在很多应用场景中,IDS与防火墙共存,形成互补。
根据网络规模的不同,IDS有三种部署场景:小型网络中,IDS旁路部署在Internet接入路由器之后的第一台交换机上,如图5所示;中型网络中,采用图6的方式部署;大型网络采用图7的方式部署。
图5 小型网络部署图6 中型网络部署图7 大型网络部署4、IDS硬件体系架构分析主流的IDS的体系架构分为X86、NP、ASIC、FPGA及混合架构,对各体系架构的原理及特点介绍如下。
X86架构X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,是早期防火墙、入侵防护系统开发的主要平台。
其安全功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。
基于这一架构产品开发周期短,成本低,是绝大多数网络安全厂商的选择。
但其性能发展却受到体系结构的制约,作为通用的计算平台,X86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。
虽然PCI总线接口理论上能达到接近2Gbps的吞吐量,但是由于通用CPU的处理能力有限,尽管软件部分可以尽可能地优化,但实际很难达到高速率和低时延。
NP架构网络处理器(NP)技术,NP是专门为网络设备处理网络流量而设计的处理器,体系结构如图8所示。
其体系结构和指令集对于入侵检测系统和防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。
硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。
然而,NP的弱点也比较明显,其在4-7层的数据处理上相对较弱。
在检测策略比较复杂(如入侵防护系统所用的检测策略)的情况下,吞吐速率有明显下降,时延明显。
图8 网络处理器架构 ASIC架构相比之下,ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。
ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了安全产品的性能。
新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。
但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。
虽然研发成本较高、灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。
FPGA架构相对于NP,FPGA是对数据进行高速并行处理的器件,具有更强的灵活性和扩展性。
在IDS 中FPGA擅长把一些安全特征转化成逻辑,在实现过程中能够同时匹配上千条规则,其并行速度超过普通CPU,而且相对于并行ASIC,其灵活性占有较大优势。
如图9所示为FPGA架构典型应用。
其中SPC表示:Services Processing Card;NPC表示:Network Processing Card。
图9 FPGA架构应用混合架构混合体系架构,即由ASIC+NP+FPGA集成。
典型的安全厂商如:McAfee,其网络安全平台创新地采用这一架构,通过AVERT组织设计的ASIC,把指令或计算逻辑固化到芯片中,获得了高速的协议和检测处理能力。
使用NP处理SSL加密通信、拒绝服务攻击等消耗计算资源的功能;采用FPGA芯片保证产品的更新升级。
FPGA顾名思义就是器件可编程,因而能轻松升级,很好地满足需求变化,延长了产品寿命,有助于网络安全设备跟踪标准和协议的持续变化。
同时,FPGA有一定的预留性,一般情况下只用到其容量的20%左右,可充分保证日后升级所用。
5、IDS产品测评技术介绍目前,市场上存在各种各样的IDS设备,而且各个设备的性能和价格都不尽相同,具体实现方式也存在差异,如何才能找到性价比高、适合自己的IDS设备成为各个公司所关心的问题。
对各款IDS设备进行测试评估,是解决这个问题的最可靠的途径。
而且经常性的测试评估有利于及时了解技术发展现状和存在的不足。
依据资质进行筛选在测试前,我们可以先看看测试的IDS产品取得了哪些认证。
目前国内主要有4家信息安全产品的认证机构,分别是公安部计算机信息系统安全产品质量监督检验中心、国家保密局涉密信息系统安全保密测评中心、中国人民解放军信息安全测评认证中心、中国国家信息安全测评认证中心。
这4家认证机构中,公安部的认证对IDS产品来说是必须的,通过了公安部的认证,才能领取计算机安全专用产品销售许可证。
确定重要评价指标如果需要测评的IDS有经过上面的多家认证机构的认证之后,说明质量基本是没有问题的。
但是很多时候我们需要一款适合自己的产品,好并不代表适合。
所以,我们需要测试IDS产品的各个方面的性能,对其有全面的了解。
评测IDS的指标主要有:及时性、准确性、完备性、健壮性、处理性能、易用性。
及时性要求IDS必须尽快地分析数据并把分析结果传播出去,以使系统安全管理者能够在入侵攻击尚未造成更大的危害之前做出反应,阻止入侵者进一步的破坏活动。
要注意的是它不仅要求IDS产品的处理速度要尽可能地快,而且要求传播、反应检测结果信息的时间尽可能的少。
测试时可以应用以下场景:1、查看测试产品最新的3个升级包,记录升级时间间隔;2、观察在IDS不暂停工作的情况下是否可以完成升级;3、测试IDS在升级过程中是否仍能检测到攻击事件。
准确性指IDS从各种行为中正确的识别入侵的能力。