文档介绍:会计学
1
入侵检测技术第12章
信息安全技术的发展是由每次的信息技术进步不断推动的。近年来,技术的发展出现了许多重要的发展趋势。
首先,网络结构的不断变化。网络拓扑结构由传统的广播媒介结构逐步转向交换拓扑结构,即由集线器连接向交换机连接形式转变。尽管交换结构能够增强网络性能同时增加安全性,但是同时也给网络入侵检测技术提出了技术上的新问题。虽然目前能够通过一定的技术措施(诸如镜像端口)来处理交换结构,但是随着交换带宽的不断增长,势必需要采取新的方法来处理数据包的获取问题。
技术的发展趋势
第1页/共11页
其次,网络带宽迅速增长(千兆以太网和光纤网络技术迅速普及),其增加速度已经超过了同期的计算能力的提高速度,因此给入侵检测的处理能力提出了更高要求。为了分散单个检测结点的处理负担,对网络结点检测技术的需求将会得到进一步增强。
另外,三网合一是大势所趋,使融合速度进一步加快,最后形成的将是建立在包交换技术上的统一网络环境。如何处理在融合进程中出现的各种问题,对入侵检测也是一个不小的挑战。
无线网络环境的普及,带来了更为便利的物理接入方式和更大的接入范围,同时,也带来了更多的安全问题。无线网络环境下的入侵检测技术,需要处理与传统网络环境下不同的技术问题。
第2页/共11页
计算机技术发展的另外一个重要趋势就是分布式计算技术的不断发展和成熟。分布式计算技术从计算机的早期发展阶段,就一直在不断演化,到现在更加成熟,包括目前提出的“网格”计算技术,都是在倡导计算资源透明化的理念,用户只需要通过接口使用计算能力即可,而不必关心它是从哪里来以及如何获得的问题,就像使用日常的水电煤气一样地来获得计算资源。分布式计算技术的发展,提供了更为方便的获取计算能力的途径,但是同时如何来保证对计算资源的合理正常使用的问题,还需要更多安全研究工作的开展。入侵检测技术作为整体安全保护机制的一部分,也需要考虑处理分布式计算环境下的特定问题。
第3页/共11页
就安全技术本身的发展,同样对入侵检测技术的发展提出了新的要求。首先,信息安全技术的发展,越来越重视整体的防护体系,提出了安全管理系统的概念。在此体系下,各个安全防护组件需要无缝集成,并支持统一的安全管理框架。因此,未来的入侵检测需要支持这样的安全管理需求。其次,基于IPSec协议的虚拟专用网为代表的加密技术应用会不断普及流行,这就对通过数据包内容分析工作的网络入侵检测技术提出了很大的挑战。现有的若干解决方案,都涉及密钥的管理问题,同时处理能力的需求也是个需要解决的问题。
未来技术发展对安全技术的需求,特别是对入侵检测技术的影响,还需要自己不断体会探究。
第4页/共11页
现有的入侵检测技术还存在若干的不足因素,首先可以从各种类型的入侵检测技术谈起。
就网络入侵检测技术而言,目前面临的主要问题包括:
⑴ 高速网络环境下的检测问题。网络带宽的增长速度已经超过了计算能力的提高速度,尤其对于入侵检测而言,为了保证必需的检测能力,通常需要进行网络数据包的重组操作,这就需要耗费更多的计算能力。
现有入侵检测技术的局限性
第5页/共11页
⑵ 交换式网络环境下的检测问题。传统的网络入侵检测技术无法监控交换式网络,通常需要添加一些额外的硬件措施,才能够完成检测任务。这将带来性能和通用性的实际问题。
⑶加密的问题。大多数的网络入侵检测技术都需要通过对数据包载荷中的特定特征字符串进行分析匹配,才能够发现入侵活动。如果对网络上传输的数据进行了加密操作,无论是在IP层(IPSec),还是在会话层和应用层(SSL),都会极大影响网络入侵检测系统的正常工作。
对于主机入侵检测技术,存在的问题包括:
⑴ 对系统性能的影响。主机入侵检测依赖于部署在目标主机上的代理进行工作,并且通常是在分布式
第6页/共11页
的网络系统内部署多个检测代理组件来完成对目标系统的安全监控。主机入侵检测对系统性能的影响体现在两个方面: 首先,目标主机上生成的审计数据量通常是很大的,而负责处理这些审计数据的代理势必要占据主机的处理能力,从而影响主机的运行性能;其次,如果主机代理需要通过网络将数据和报警信号传送到控制台进行统一处理时,则大量代理所发送的网络数据包会占用可观的带宽资源,从而影响网络的运行性能。通常需要根据具体情况,在两种不同性能影响情况中进行折中处理。
⑵ 部署和维护的问题。由于主机入侵检测需要在每个目标机上都至少部署一个代理,所以如何实现方便的统一部署、管理和维护工作是一项困难的工作,特别是在分布式的网络环境下尤其如此。
第7页/共11页
⑶ 安全问题。代理直接部署在目标系统上,因此获得非法根权限的用户可以直接关闭该代理的运行并删除该代理。主机上的审计记