網(wǎng)絡安全之入侵檢測技術

(2) 針對IDS自身的攻擊無法防護;

(3) 不能實現(xiàn)加密、殺毒功能;

(4) 檢測到入侵，只進行告警，而無阻斷等。

IDS和防火墻均具備對方不可代替的功能，因此在很多應用場景中，IDS與防火墻共存，形成互補。

根據(jù)網(wǎng)絡規(guī)模的不同，IDS有三種部署場景：小型網(wǎng)絡中，IDS旁路部署在Internet接入路由器之后的第一臺交換機上，如圖5所示;中型網(wǎng)絡中，采用圖6的方式部署;大型網(wǎng)絡采用圖7的方式部署。

圖5 小型網(wǎng)絡部署

圖6 中型網(wǎng)絡部署

圖7 大型網(wǎng)絡部署

4、IDS硬件體系架構(gòu)分析

主流的IDS的體系架構(gòu)分為X86、NP、ASIC、FPGA及混合架構(gòu)，對各體系架構(gòu)的原理及特點介紹如下。

4.1 X86架構(gòu)

X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，是早期防火墻、入侵防護系統(tǒng)開發(fā)的主要平臺。其安全功能主要由軟件實現(xiàn)，可以根據(jù)用戶的實際需要而做相應調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富?；谶@一架構(gòu)產(chǎn)品開發(fā)周期短，成本低，是絕大多數(shù)網(wǎng)絡安全廠商的選擇。但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計算平臺，X86的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量，但是由于通用CPU的處理能力有限，盡管軟件部分可以盡可能地優(yōu)化，但實際很難達到高速率和低時延。

4.2 NP架構(gòu)

網(wǎng)絡處理器(NP)技術，NP是專門為網(wǎng)絡設備處理網(wǎng)絡流量而設計的處理器，體系結(jié)構(gòu)如圖8所示。其體系結(jié)構(gòu)和指令集對于入侵檢測系統(tǒng)和防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對網(wǎng)絡流量進行快速的并發(fā)處理。硬件結(jié)構(gòu)設計也大多采用高速的接口技術和總線規(guī)范，具有較高的I/O能力。然而，NP的弱點也比較明顯，其在4-7層的數(shù)據(jù)處理上相對較弱。在檢測策略比較復雜(如入侵防護系統(tǒng)所用的檢測策略)的情況下，吞吐速率有明顯下降，時延明顯。

圖8 網(wǎng)絡處理器架構(gòu)

4.3 ASIC架構(gòu)

相比之下，ASIC通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了安全產(chǎn)品的性能。新一代的高可編程ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發(fā)費用高，開發(fā)周期太長，一般耗時接近2年。 雖然研發(fā)成本較高、靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。

4.4 FPGA架構(gòu)

相對于NP，F(xiàn)PGA是對數(shù)據(jù)進行高速并行處理的器件，具有更強的靈活性和擴展性。在IDS中FPGA擅長把一些安全特征轉(zhuǎn)化成邏輯，在實現(xiàn)過程中能夠同時匹配上千條規(guī)則，其并行速度超過普通CPU，而且相對于并行ASIC，其靈活性占有較大優(yōu)勢。如圖9所示為FPGA架構(gòu)典型應用。其中SPC表示：Services Processing Card;NPC表示：Network Processing Card。

圖9 FPGA架構(gòu)應用

4.5混合架構(gòu)

混合體系架構(gòu)，即由ASIC+NP+FPGA集成。典型的安全廠商如：McAfee，其網(wǎng)絡安全平臺創(chuàng)新地采用這一架構(gòu)，通過AVERT組織設計的ASIC，把指令或計算邏輯固化到芯片中，獲得了高速的協(xié)議和檢測處理能力。使用NP處理SSL加密通信、拒絕服務攻擊等消耗計算資源的功能;采用FPGA芯片保證產(chǎn)品的更新升級。FPGA顧名思義就是器件可編程，因而能輕松升級，很好地滿足需求變化，延長了產(chǎn)品壽命，有助于網(wǎng)絡安全設備跟蹤標準和協(xié)議的持續(xù)變化。同時，F(xiàn)PGA有一定的預留性，一般情況下只用到其容量的20%左右，可充分保證日后升級所用。

5、IDS產(chǎn)品測評技術介紹

目前，市場上存在各種各樣的IDS設備，而且各個設備的性能和價格都不盡相同，具體實現(xiàn)方式也存在差異，如何才能找到性價比高、適合自己的IDS設備成為各個公司所關心的問題。對各款IDS設備進行測試評估，是解決這個問題的最可靠的途徑。而且經(jīng)常性的測試評估有利于及時了解技術發(fā)展現(xiàn)狀和存在的不足。

5.1依據(jù)資質(zhì)進行篩選

在測試前，我們可以先看看測試的IDS產(chǎn)品取得了哪些認證。目前國內(nèi)主要有4家信息安全產(chǎn)品的認證機構(gòu)，分別是公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、國家保密局涉密信息系統(tǒng)安全保密測評中心、中國人民解放軍信息安全測評認證中心、中國國家信息安全測評認證中心。

這4家認證機構(gòu)中，公安部的認證對IDS產(chǎn)品來說是必須的，通過了公安部的認證，才能領取計算機安全專用產(chǎn)品銷售許可證。

5.2確定重要評價指標

如果需要測評的IDS有經(jīng)過上面的多家認證機構(gòu)的認證之后，說明質(zhì)量基本是沒有問題的。但是很多時候我們需要一款適合自己的產(chǎn)品，好并不代表適合。所以，我們需要測試IDS產(chǎn)品的各個方面的性能，對其有全面的了解。評測IDS的指標主要有：及時性、準確性、完備性、健壯性、處理性能、易用性。