网络安全主动防护的必备手段——入侵检测(基于网络篇)入侵检测(IDS)作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。针为IDS产品,上期我们介绍了基于主机的IDS技术,本期我们将主要介绍基于网络的IDS技术。基于网络的IDS系统使用原始的网络包作为信息源。它可利用工作在混合杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。基于网络的IDS产品一般被放置在比较重要的网段内,以便对每一个数据包或可疑的数据包进行特征分析。部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到,响应模块按照配置对攻击做出反应。通常这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。在检测入侵的特征库方面,基于网络的IDS产品有基于内置静态特征库与基于动态特征库的IDS两种,基于内置静态特征库的IDS不能实时扩展新的攻击特征,因此随着攻击特征的增加,IDS的性能会大大降低。相对而言,基于动态特征库的IDS攻击特征可扩展,新的攻击特征可以被动态地增加到引擎中,而且它的每一个被监测的网络服务器里都有一组基于OS和基于应用的攻击特征,这使得基于动态特征库IDS的性能大大提高。网络安全专家赛门铁克推出的NetProwler是一个基于网络的动态入侵检测系统,它提供了动态、实时、透明的网络IDS,能记录日志,同时可中断内部不满者和外部黑客的非授权使用、误用和滥用。尤其在动态扩展攻击特征库方面,NetProwler可使用SDSI虚拟处理器能够立即展开自定义攻击信号,中断严重的恶意攻击。总体上讲,可以帮助企业避免内部、远程、乃至授权用户所进行的网络探测、系统误用及其它恶意行为。作为一套战略工具,它还可帮助安全管理员制定杜绝未来攻击的可靠应对措施。基于网络IDS系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。通过基于主机的IDS系统,则可以检测多种网络环境下的网络包,从而避免安装多台网络IDS系统的传感器,使布署整个系统的成本大大增加;网络IDS系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。而这方面正是基于主机IDS的强项;网络IDS系统中的传感器协同工作能力较弱,影响了系统的性能,同时系统处理加密的会话过程较困难,而对于基于主机的IDS则没有这一障碍。另一方面,由于基于主机的IDS系统在反应的时间上依赖于定期检测的时间间隔,反应较慢,而且其检测实时性也没有基于网络的IDS系统好。鉴于此,网络安全专家赛门铁克建议,在实施基于网络的IDS系统同时仍然在特定的敏感主机上增加代理是一个比较完善的策略。因为,基于主机的IDS与基于网络的IDS并行可以做到优势互补:网络部分提供早期警告,而基于主机的部分可提供攻击成功与否的情况分析与确认。所以如果企业将赛门铁克的NetProwler与IntruderAlert配合使用,能够达到更佳效果。