网络安全之入侵检测技术

作者：时间：2012-08-08来源：网络收藏

(2) 针对IDS自身的攻击无法防护;

本文引用地址：http://www.eepw.com.cn/article/154189.htm

(3) 不能实现加密、杀毒功能;

(4) 检测到入侵，只进行告警，而无阻断等。

IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。

根据网络规模的不同，IDS有三种部署场景：小型网络中，IDS旁路部署在Internet接入路由器之后的第一台交换机上，如图5所示;中型网络中，采用图6的方式部署;大型网络采用图7的方式部署。

图5 小型网络部署

图6 中型网络部署

图7 大型网络部署

4、IDS硬件体系架构分析

主流的IDS的体系架构分为X86、NP、ASIC、FPGA及混合架构，对各体系架构的原理及特点介绍如下。

4.1 X86架构

X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，是早期防火墙、入侵防护系统开发的主要平台。其安全功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。基于这一架构产品开发周期短，成本低，是绝大多数网络安全厂商的选择。但其性能发展却受到体系结构的制约，作为通用的计算平台，X86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是由于通用CPU的处理能力有限，尽管软件部分可以尽可能地优化，但实际很难达到高速率和低时延。

4.2 NP架构

网络处理器(NP)技术，NP是专门为网络设备处理网络流量而设计的处理器，体系结构如图8所示。其体系结构和指令集对于入侵检测系统和防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。然而，NP的弱点也比较明显，其在4-7层的数据处理上相对较弱。在检测策略比较复杂(如入侵防护系统所用的检测策略)的情况下，吞吐速率有明显下降，时延明显。

图8 网络处理器架构

4.3 ASIC架构

相比之下，ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了安全产品的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。虽然研发成本较高、灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。

4.4 FPGA架构

相对于NP，FPGA是对数据进行高速并行处理的器件，具有更强的灵活性和扩展性。在IDS中FPGA擅长把一些安全特征转化成逻辑，在实现过程中能够同时匹配上千条规则，其并行速度超过普通CPU，而且相对于并行ASIC，其灵活性占有较大优势。如图9所示为FPGA架构典型应用。其中SPC表示：Services Processing Card;NPC表示：Network Processing Card。

图9 FPGA架构应用

4.5混合架构

混合体系架构，即由ASIC+NP+FPGA集成。典型的安全厂商如：McAfee，其网络安全平台创新地采用这一架构，通过AVERT组织设计的ASIC，把指令或计算逻辑固化到芯片中，获得了高速的协议和检测处理能力。使用NP处理SSL加密通信、拒绝服务攻击等消耗计算资源的功能;采用FPGA芯片保证产品的更新升级。FPGA顾名思义就是器件可编程，因而能轻松升级，很好地满足需求变化，延长了产品寿命，有助于网络安全设备跟踪标准和协议的持续变化。同时，FPGA有一定的预留性，一般情况下只用到其容量的20%左右，可充分保证日后升级所用。

5、IDS产品测评技术介绍

目前，市场上存在各种各样的IDS设备，而且各个设备的性能和价格都不尽相同，具体实现方式也存在差异，如何才能找到性价比高、适合自己的IDS设备成为各个公司所关心的问题。对各款IDS设备进行测试评估，是解决这个问题的最可靠的途径。而且经常性的测试评估有利于及时了解技术发展现状和存在的不足。

5.1依据资质进行筛选

在测试前，我们可以先看看测试的IDS产品取得了哪些认证。目前国内主要有4家信息安全产品的认证机构，分别是公安部计算机信息系统安全产品质量监督检验中心、国家保密局涉密信息系统安全保密测评中心、中国人民解放军信息安全测评认证中心、中国国家信息安全测评认证中心。

这4家认证机构中，公安部的认证对IDS产品来说是必须的，通过了公安部的认证，才能领取计算机安全专用产品销售许可证。

5.2确定重要评价指标

如果需要测评的IDS有经过上面的多家认证机构的认证之后，说明质量基本是没有问题的。但是很多时候我们需要一款适合自己的产品，好并不代表适合。所以，我们需要测试IDS产品的各个方面的性能，对其有全面的了解。评测IDS的指标主要有：及时性、准确性、完备性、健壮性、处理性能、易用性。