網(wǎng)絡(luò)安全中IDS的作用和工作原理

Win7之家（ afsion.com.cn）：網(wǎng)絡(luò)安全中IDS的作用和工作原理

        什么是IDS呢？早期的IDS僅僅是一個(gè)監(jiān)聽(tīng)系統(tǒng)，在這里，你可以把監(jiān)聽(tīng)理解成竊聽(tīng)的意思�；�于目前局網(wǎng)的工作方式，IDS可以將用戶(hù)對(duì)位于與IDS同一交換機(jī)/HuB的服務(wù)器的訪問(wèn)、操作全部記錄下來(lái)以供分析使用，跟我們常用的widnows操作系統(tǒng)的事件查看器類(lèi)似。再后來(lái)，由于IDS的記錄太多了，所以新一代的IDS提供了將記錄的數(shù)據(jù)進(jìn)行分析，僅僅列出有危險(xiǎn)的一部分記錄，這一點(diǎn)上跟目前windows所用的策略審核上很象;目前新一代的IDS，更是增加了分析應(yīng)用層數(shù)據(jù)的功能，使得其能力大大增加;而更新一代的IDS，就頗有“路見(jiàn)不平，拔刀相助”的味道了，配合上防火墻進(jìn)行聯(lián)動(dòng)，將IDS分析出有敵意的地址阻止其訪問(wèn)。

　　就如理論與實(shí)際的區(qū)別一樣，IDS雖然具有上面所說(shuō)的眾多特性，但在實(shí)際的使用中，目前大多數(shù)的入侵檢測(cè)的接入方式都是采用pass-by方式來(lái)偵聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù)流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數(shù)據(jù)包來(lái)阻斷當(dāng)前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎(chǔ)之上的一些行為，如Telnet、FTP、HTTP等，而對(duì)于一些建立在UDP基礎(chǔ)之上就無(wú)能為力了。因?yàn)榉阑饓Φ牟呗远际鞘孪仍O(shè)置好的，無(wú)法動(dòng)態(tài)設(shè)置策略，缺少針對(duì)攻擊的必要的靈活性，不能更好的保護(hù)網(wǎng)絡(luò)的安全，所以IDS與防火墻聯(lián)動(dòng)的目的就是更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度。

　　接下來(lái)，簡(jiǎn)單介紹一下IDS與防火墻聯(lián)動(dòng)工作原理。

　　入侵檢測(cè)系統(tǒng)在捕捉到某一攻擊事件后，按策略進(jìn)行檢查，如果策略中對(duì)該攻擊事件設(shè)置了防火墻阻斷，那么入侵檢測(cè)系統(tǒng)就會(huì)發(fā)給防火墻一個(gè)相應(yīng)的動(dòng)態(tài)阻斷策略，防火墻根據(jù)該動(dòng)態(tài)策略中的設(shè)置進(jìn)行相應(yīng)的阻斷，阻斷的時(shí)間、阻斷時(shí)間間隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵檢測(cè)系統(tǒng)發(fā)出的動(dòng)態(tài)策略來(lái)執(zhí)行。一般來(lái)說(shuō)，很多情況下，不少用戶(hù)的防火墻與IDS并不是同一家的產(chǎn)品，因此在聯(lián)動(dòng)的協(xié)議上面大都遵從 opsec 或者 topsec協(xié)議進(jìn)行通信，不過(guò)也有某些廠家自己開(kāi)發(fā)相應(yīng)的通信規(guī)范的。目前總得來(lái)說(shuō)，聯(lián)動(dòng)有一定效果，但是穩(wěn)定性不理想，特別是攻擊者利用偽造的包信息，讓IDS錯(cuò)誤判斷，進(jìn)而錯(cuò)誤指揮防火墻將合法的地址無(wú)辜屏蔽掉。

　　因?yàn)橹T多不足，在目前而言，IDS主要起的還是監(jiān)聽(tīng)記錄的作用。用個(gè)比喻來(lái)形容：網(wǎng)絡(luò)就好比一片黑暗，到處充滿(mǎn)著危險(xiǎn)，冥冥中只有一個(gè)出口;IDS就象一支手電筒，雖然手電筒不一定能照到正確的出口，但至少有總比沒(méi)有要好一些。稱(chēng)職的網(wǎng)管，可以從IDS中得到一些關(guān)于網(wǎng)絡(luò)使用者的來(lái)源和訪問(wèn)方式，進(jìn)而依據(jù)自己的經(jīng)驗(yàn)進(jìn)行主觀判斷(注意，的確是主觀判斷。例如用戶(hù)連續(xù)ping了服務(wù)器半個(gè)小時(shí)，到底是意圖攻擊，還是無(wú)意中的行為？這都依據(jù)網(wǎng)絡(luò)管理員的主觀判斷和網(wǎng)絡(luò)對(duì)安全性的要求來(lái)確定對(duì)應(yīng)方式。)對(duì)IDS的選擇，跟上面談到的防火墻的選擇類(lèi)似，根據(jù)自己的實(shí)際要求和使用習(xí)慣，選擇一個(gè)自己夠用的，會(huì)使用的就足夠了。

　　最后，要說(shuō)的依然是那句“世界上沒(méi)有一種技術(shù)能真正保證絕對(duì)地安全。”安全問(wèn)題，是從設(shè)備到人，從服務(wù)器上的每個(gè)服務(wù)程序到防火墻、IDS等安全產(chǎn)品的綜合問(wèn)題;任何一個(gè)環(huán)節(jié)工作，只是邁向安全的步驟。

Windows7之家（afsion.com.cn），凝聚你我他