微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > 网络安全之入侵检测技术

网络安全之入侵检测技术

时间:07-03 来源:3721RD 点击:

设备,无需网络流量流经它,便可正常工作,即IDS采用旁路部署方式接入网络。与防火墙相比IDS有如下优势:

(1) IDS是旁路设备,不影响原有链路的速度;

(2) 由于具有庞大和详尽的入侵知识库,可以提供非常准确的判断识别,漏报和误报率远远低于防火墙;

(3) 对日志记录非常详细,包括:访问的资源、报文内容等;

(4) 无论IDS工作与否,都不会影响网络的连通性和稳定性;

(5) 能够检测未成功的攻击行为;

(6) 可对内网进行入侵检测等。

同时,与防火墙相比,其也具有如下的劣势:

(1) 检测效率低,不能适应高速网络检测;

(2) 针对IDS自身的攻击无法防护;

(3) 不能实现加密、杀毒功能;

(4) 检测到入侵,只进行告警,而无阻断等。

IDS和防火墙均具备对方不可代替的功能,因此在很多应用场景中,IDS与防火墙共存,形成互补。

根据网络规模的不同,IDS有三种部署场景:小型网络中,IDS旁路部署在Internet接入路由器之后的第一台交换机上,如图5所示;中型网络中,采用图6的方式部署;大型网络采用图7的方式部署。

  图5 小型网络部署

  图6 中型网络部署


图7 大型网络部署

4、IDS硬件体系架构分析

主流的IDS的体系架构分为X86、NP、ASIC、FPGA及混合架构,对各体系架构的原理及特点介绍如下。

4.1 X86架构

X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,是早期防火墙、入侵防护系统开发的主要平台。其安全功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。基于这一架构产品开发周期短,成本低,是绝大多数网络安全厂商的选择。但其性能发展却受到体系结构的制约,作为通用的计算平台,X86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量,但是由于通用CPU的处理能力有限,尽管软件部分可以尽可能地优化,但实际很难达到高速率和低时延。

4.2 NP架构

网络处理器(NP)技术,NP是专门为网络设备处理网络流量而设计的处理器,体系结构如图8所示。其体系结构和指令集对于入侵检测系统和防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。然而,NP的弱点也比较明显,其在4-7层的数据处理上相对较弱。在检测策略比较复杂(如入侵防护系统所用的检测策略)的情况下,吞吐速率有明显下降,时延明显。

  图8 网络处理器架构

4.3 ASIC架构

相比之下,ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了安全产品的性能。新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。 虽然研发成本较高、灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。

4.4 FPGA架构

相对于NP,FPGA是对数据进行高速并行处理的器件,具有更强的灵活性和扩展性。在IDS中FPGA擅长把一些安全特征转化成逻辑,在实现过程中能够同时匹配上千条规则,其并行速度超过普通CPU,而且相对于并行ASIC,其灵活性占有较大优势。如图9所示为FPGA架构典型应用。其中SPC表示:Services Processing Card;NPC表示:Network Processing Card。

  图9 FPGA架构应用

4.5混合架构

混合体系架构,即由ASIC+NP+FPGA集成。典型的安全厂商如:McAfee,其网络安全平台创新地采用这一架构,通过AVERT组织设计的ASIC,把指令或计算逻辑固化到芯片中,获得了高速的协议和检测处理能力。使用NP处理SSL加密通信、拒绝服务攻击等消耗计算资源的功能;采用FPGA芯片保证产品的更新升级。FPGA顾名思义就是器件可编程,因而能轻松升级,很好地满足需求变化,延长了产品寿命,有助于网络安全设备跟踪标准和协议的持续变化。同时,FPGA有一定的预留性,一般情况下只用到其容量的20%左右,可充分保证日后升级所用。

5、IDS产品测评技术介绍

目前,市场上存在各种各样的IDS设备,而且各个设备的性能和价格都不尽相同,具体实现方式也存在差异,如何才能找到性价比高、适合自己的IDS设备成为各个公司所关心的问题。对各款IDS设备进行测试评估,是解决这个问题的最可靠的途径。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top