加载中…
透过产品看IDS方向
(2006-05-13 09:23:43)| 分类: 信息安全 |
| 一、主要产品的改进 |
| 市场上常见的入侵检测系统在最近几个版本的改进: |
| 1. Snort |
| 当前的最新版本为1.7,它主要做了如下的改动: |
| ● 支持动态规则(一个规则可以启动另外的规则)。 |
| ● 支持统计异常的检测引擎(SPADE: Statistical Packet Anomaly Detection Engine)。 |
| ● 支持TCP流重组。 |
| ● 支持XML输出的插件。 |
| ● 数据库输出插件支持Oracle DB。 |
| ● 加入4个新的检测插件:React、Reference、Fragbits和Tos。 |
| ● 支持任意/用户定制行为类型。 |
| 由于Snort的规则大多采用www.snort.org上面的规则,可被黑客采用其他攻击变体绕过。有些规则很容易误报,例如Queso Fingerprint attempt。 |
| 2.RealSecure |
| 它增加了RealSecure Server Sensor 5.5及同时基于主机和网络的入侵检测器。网络部分只检测本机发送和接收的包,且支持碎片重组。 |
| ● OS Sensor支持HP-Unix、AIX、Solaris、NT等。 |
| ● Network Sensor支持Solaris、NT等。 |
| ● Workgroup Manager支持NT。 |
| ● Manager支持HP OpenView、Tivoli等。 |
| 早期的RealSecure易受碎片攻击影响,但当前版本的ISS RealSecure已支持碎片重组。 |
| 3.NetRanger |
| ● NrConfigure改进。 |
| ● 安装工具的改进。 |
| ● Director改进:支持HP OpenView 6.x、Solaris 2.7和Multi-User Support。 |
| ● Network Security Database (NSDB)改进。 |
| ● BorderGuard支持。 |
| 4. NFR |
| 当前的5.0版本做了如下改进: |
| ● 管理性:允许用户对警告加注释。多个NID(网络入侵检测)可被一个Central Management Server管理。此Server支持Win32、Linux/UNIX平台。 |
| ● 报警:支持SNMP消息的发送。 |
| ● Sensor DB:支持ODBC。 |
| 5. Dragon |
| 2000年推出了基于主机的入侵检测系统Dragon Squire(此前没有支持主机的入侵检测系统)。 |
| 二、 产品发展动向 |
| 从这些产品的改进可以得出以下一些值得注意的动向: |
| 1. 基于网络的入侵检测系统还是主流:目前,基于网络的入侵检测系统的数量仍然多于基于主机的入侵检测系统。 |
| 2. 基于网络的入侵检测系统与基于主机的入侵检测系统结合:网络入侵检测系统有它的弱点。与基于主机的入侵检测系统相结合,能够互相取长补短,更好地进行检测。目前实现了两者相结合的产品有ISS RealSecure、Dragon IDS、CyberSafe Centrax、金诺网安KIDS等多项产品。 |
| 3. 入侵检测系统的互操作性:网络的特性之一就是开放与共享,入侵检测系统之间目前也逐步开始强调互操作性。Snort就支持已基于XML的SNML格式记录入侵信息。XML可用于提高不同厂家的IDS之间及IDS与其他网络设备的协作功能。目前,KIDS就支持这种基于XML的互操作性。 |
| 4. 入侵检测系统与路由器及防火墙的整合:现已有多个产品支持直接对路由器或防火墙进行调整,以阻挡入侵主机。如Cisco Secure IDS (NetRanger)、ISS RealSecure、CA eTrust Intrusion Detection等。 |
| 5. 入侵检测系统的管理支持SNMP及通用网管系统:如CA eTrust Intrusion Detection、Axent NetProwler/Intrusion Alert。 |
| 6. 智能入侵检测系统还不能形成真正实用的产品:目前商用的入侵检测产品中无一采用“智能”技术。主要原因是入侵检测对系统的性能要求非常高,而“智能”系统性能普遍较低,且技术未成熟,与传统方法相比没有优势。 |
| 7. 数据挖掘:增加噪声的攻击手段的使用,以及DoS攻击,有必要采用数据挖掘的方法从大量的信息中提取有威胁的、隐蔽的入侵行为。 |
喜欢
0
赠金笔