入侵检测产品的技术现状及发展趋势

入侵监测系统从专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

未来入侵检测系统的发展趋势是朝智能化、管理化以及更安全的方向发展。

入侵检测系统产品现状

1 技术实现现状

入侵监测系统从专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。它处于防火墙之后,对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。

IDS的功能

具体说来,入侵检测系统的主要功能有:

a. 监测并分析用户和系统的活动;

b. 核查系统配置和漏洞;

c. 评估系统关键资源和数据文件的完整性;

d. 识别已知的攻击行为;

e. 统计分析异常行为;

f. 操作系统日志管理,并识别违反安全策略的用户活动。

IDS 的分类

一般来说,入侵检测系统可分为主机型和网络型。

主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。

网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式( promisc mode ) , 监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

网络型入侵检测系统部署灵活,给主机带来的负载压力小,但随着高速网络的普及,这种结构也受到了挑战;主机型入侵检测系统移植性差,增加了额外系统开销,但其分析报告入侵行为更为准确,可谓各有千秋。

2 市场现状分析

根据赛迪顾问研究报告,到 2011 年,入侵检测市场的规模将达到 US$ 112.4M ,市场绝对容量增长 US$ 35.7M 。 2007 年国内的入侵检测产品市场呈现出 3 方面的特点。第一,一线厂商继续稳定发展。 2007 年前三季度,中国入侵检测市场前三名厂商合计占据了 64 %的市场份额。以启明星辰为代表,其占据了 2007 年前三季度整个中国入侵检测市场 25.6% 的市场份额。第二,二线厂商竞争激烈。 2007 年前三季度二线厂商共占据总体市场份额的 22 %。第三,国外厂商表现平平。国外厂商在中国入侵检测市场表现较差的主要原因是入侵检测产品的核心价值在威胁呈现,不同区域的用户需求有明确差异,在这方面本土厂商占据了较大优势,可以快速跟进用户需求,而国际厂商则很难做到快速响应本地市场的需求,因此导致了国内厂商主导中国入侵检测市场的格局。预计在以后的 5 年内,中国入侵检测市场日趋成熟与稳定,品牌效应会更加显著。一线厂商将占据更大的市场份额;不知名小厂商所占市场份额会进一步缩小;二线厂商的激烈竞争状态将持续相当长的时间;国外厂商在标准化程度高的运营商行业仍然具有一定空间,但在其它行业发展机会有限。

3 未来发展趋势

未来入侵检测系统的发展趋势是朝智能化、管理化以及更安全的方向发展。

从国内外历次的测试结果可以看出,目前入侵监测系统的监测技术还不够智能。首先应用层的协议支持的还不够,许多入侵的语义只有在应用层才能理解,而目前的入侵检测系统仅能检测 Web 之类的通用协议,不能处理如 Lotus Notes 数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。其次是主动防御技术的推进,现有的入侵检测系统产品多数情况下都是被动地检测已知的安全入侵方式,对于未知的入侵方式的效果微乎其微,即使具备了一定的所谓异常模式判断的入侵检测系统,对于新的攻击模式的实际应用效果也是不太明显的。第三是要与网络安全技术相结合,结合防火墙、 PKIX 、安全电子交易( SET )等网络安全与电子商务技术,提供完整的网络安全保障。在 2007 年的入侵检测系统产品中,我们可以大范围的看到流量监测功能的加入,对 P2P 下载、 IM 即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录的功能成为市场亮点。

入侵检测系统的全功能管理化也是发展方向之一。用户需要更加全面的管理功能以及更加灵活的管理方式。例如在 2007 年的入侵检测产品中,我们可以看到不少产品都可以支持 B/S 和 C/S 两种管理方式,同时支持单级,多级管理模式等。

入侵监测系统作为信息安全的重要组成部分,其自身的安全性也是用户十分关心的,也是在将来需要着重发展的方向。比如应设计和采用更加安全、可靠、高效的硬件平台;对设备和控制台间的通信进行加密控制;支持热插拔,支持电源热备,提高系统的稳定度等。