【TechTarget中国原创】问:有什么样的入侵检测系统?
答:入侵检测系统是历时最久并最普及的技术。入侵防御系统(IPS)比较新,产生的争论也很多。我将要讨论这两种工具都存在的子类。终于,一些防火墙厂商正在开始把这些技术合并到他们的产品中去。所有的这类产品应该有能力以某种方式向中央控制台报告,大量的这类产品也要实现中央管理。
入侵检测系统自从上个世纪80年代后期90年代早期就出现了,而且分为基于特征(Signature-based)的和基于异常(anomaly-based)的。基于特征的IDS的工作原理类似杀毒,查询和已知的恶意事件匹配的特征。基于异常的IDS查询网络协议、用户、流量行为模式或系统(核心)调用中的异常行为。他们进一步分为网络和基于主机的类型。现在的网络IDS(NIDS)嗅探一个单独的网段,通常使用混合特征和流量和/或协议异常检测。基于主机的IDS(HIDS)存在于独立的主机上,并监控系统记录,系统核心调用和/或不同的重要文件的改变的混合体。各种IDS的关键点是它只进行检测---这种事情已经发生过了。
入侵防御系统(IPS)和IDS的分类类似,也就是主机IPS(HIPS)和网络IPS(NIPS)。NIPS通常是内联(本质上就是smart bridge)这样它就可以阻止恶意流量通过网络。HIPS可能阻止一个应用程序或一个线路的有问题的和危险的行为。这是IPS的重点---如果他们阻止了非恶意事物,他们可以突破这些事物。
最后,防火墙传统上很少在应用层上操作,除非应用代理已经大部分干预了协议遵从。他们习惯于执行流量策略,关于有什么问题,责任在谁,如何执行。防火墙厂商正要开始把IDS特征匹配和其他技术混合进他们的产品中,这样就有能力创建防火墙和IPS的结合体 。
所有的这些技术在假阳性(良性事件的警告)和假阴性(错失新的和以前不知道的事件)方面声名狼藉。异常检测和查找系统调用中的真实恶意事件是两种对抗后者的方式。正在调整的和“目标”IDS是减少前者的方式。