網絡安全中IDS的作用和工作原理

Win7之家（ www.airtaxifl.com）：網絡安全中IDS的作用和工作原理

        什么是IDS呢？早期的IDS僅僅是一個監(jiān)聽系統(tǒng)，在這里，你可以把監(jiān)聽理解成竊聽的意思。基于目前局網的工作方式，IDS可以將用戶對位于與IDS同一交換機/HuB的服務器的訪問、操作全部記錄下來以供分析使用，跟我們常用的widnows操作系統(tǒng)的事件查看器類似。再后來，由于IDS的記錄太多了，所以新一代的IDS提供了將記錄的數據進行分析，僅僅列出有危險的一部分記錄，這一點上跟目前windows所用的策略審核上很象;目前新一代的IDS，更是增加了分析應用層數據的功能，使得其能力大大增加;而更新一代的IDS，就頗有“路見不平，拔刀相助”的味道了，配合上防火墻進行聯動，將IDS分析出有敵意的地址阻止其訪問。

　　就如理論與實際的區(qū)別一樣，IDS雖然具有上面所說的眾多特性，但在實際的使用中，目前大多數的入侵檢測的接入方式都是采用pass-by方式來偵聽網絡上的數據流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數據包來阻斷當前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對于一些建立在UDP基礎之上就無能為力了。因為防火墻的策略都是事先設置好的，無法動態(tài)設置策略，缺少針對攻擊的必要的靈活性，不能更好的保護網絡的安全，所以IDS與防火墻聯動的目的就是更有效地阻斷所發(fā)生的攻擊事件，從而使網絡隱患降至較低限度。

　　接下來，簡單介紹一下IDS與防火墻聯動工作原理。

　　入侵檢測系統(tǒng)在捕捉到某一攻擊事件后，按策略進行檢查，如果策略中對該攻擊事件設置了防火墻阻斷，那么入侵檢測系統(tǒng)就會發(fā)給防火墻一個相應的動態(tài)阻斷策略，防火墻根據該動態(tài)策略中的設置進行相應的阻斷，阻斷的時間、阻斷時間間隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵檢測系統(tǒng)發(fā)出的動態(tài)策略來執(zhí)行。一般來說，很多情況下，不少用戶的防火墻與IDS并不是同一家的產品，因此在聯動的協議上面大都遵從 opsec 或者 topsec協議進行通信，不過也有某些廠家自己開發(fā)相應的通信規(guī)范的。目前總得來說，聯動有一定效果，但是穩(wěn)定性不理想，特別是攻擊者利用偽造的包信息，讓IDS錯誤判斷，進而錯誤指揮防火墻將合法的地址無辜屏蔽掉。

　　因為諸多不足，在目前而言，IDS主要起的還是監(jiān)聽記錄的作用。用個比喻來形容：網絡就好比一片黑暗，到處充滿著危險，冥冥中只有一個出口;IDS就象一支手電筒，雖然手電筒不一定能照到正確的出口，但至少有總比沒有要好一些。稱職的網管，可以從IDS中得到一些關于網絡使用者的來源和訪問方式，進而依據自己的經驗進行主觀判斷(注意，的確是主觀判斷。例如用戶連續(xù)ping了服務器半個小時，到底是意圖攻擊，還是無意中的行為？這都依據網絡管理員的主觀判斷和網絡對安全性的要求來確定對應方式。)對IDS的選擇，跟上面談到的防火墻的選擇類似，根據自己的實際要求和使用習慣，選擇一個自己夠用的，會使用的就足夠了。

　　最后，要說的依然是那句“世界上沒有一種技術能真正保證絕對地安全。”安全問題，是從設備到人，從服務器上的每個服務程序到防火墻、IDS等安全產品的綜合問題;任何一個環(huán)節(jié)工作，只是邁向安全的步驟。

Windows7之家（www.airtaxifl.com），凝聚你我他