网络安全之入侵检测技术

设备，无需网络流量流经它，便可正常工作，即IDS采用旁路部署方式接入网络。与防火墙相比IDS有如下优势：

(1) IDS是旁路设备，不影响原有链路的速度；

(2) 由于具有庞大和详尽的入侵知识库，可以提供非常准确的判断识别，漏报和误报率远远低于防火墙；

(3) 对日志记录非常详细，包括：访问的资源、报文内容等；

(4) 无论IDS工作与否，都不会影响网络的连通性和稳定性；

(5) 能够检测未成功的攻击行为；

(6) 可对内网进行入侵检测等。

同时，与防火墙相比，其也具有如下的劣势：

(1) 检测效率低，不能适应高速网络检测；

(2) 针对IDS自身的攻击无法防护；

(3) 不能实现加密、杀毒功能；

(4) 检测到入侵，只进行告警，而无阻断等。

IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。

根据网络规模的不同，IDS有三种部署场景：小型网络中，IDS旁路部署在Internet接入路由器之后的第一台交换机上，如图5所示；中型网络中，采用图6的方式部署；大型网络采用图7的方式部署。

　　图5 小型网络部署

　　图6 中型网络部署

图7 大型网络部署

4、IDS硬件体系架构分析

主流的IDS的体系架构分为X86、NP、ASIC、FPGA及混合架构，对各体系架构的原理及特点介绍如下。

4.1 X86架构

X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，是早期防火墙、入侵防护系统开发的主要平台。其安全功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。基于这一架构产品开发周期短，成本低，是绝大多数网络安全厂商的选择。但其性能发展却受到体系结构的制约，作为通用的计算平台，X86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是由于通用CPU的处理能力有限，尽管软件部分可以尽可能地优化，但实际很难达到高速率和低时延。

4.2 NP架构

网络处理器（NP）技术，NP是专门为网络设备处理网络流量而设计的处理器，体系结构如图8所示。其体系结构和指令集对于入侵检测系统和防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。然而，NP的弱点也比较明显，其在4-7层的数据处理上相对较弱。在检测策略比较复杂（如入侵防护系统所用的检测策略）的情况下，吞吐速率有明显下降，时延明显。

　　图8 网络处理器架构

4.3 ASIC架构

相比之下，ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了安全产品的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。 虽然研发成本较高、灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。

4.4 FPGA架构

相对于NP，FPGA是对数据进行高速并行处理的器件，具有更强的灵活性和扩展性。在IDS中FPGA擅长把一些安全特征转化成逻辑，在实现过程中能够同时匹配上千条规则，其并行速度超过普通CPU，而且相对于并行ASIC，其灵活性占有较大优势。如图9所示为FPGA架构典型应用。其中SPC表示：Services Processing Card；NPC表示：Network Processing Card。

　　图9 FPGA架构应用

4.5混合架构

混合体系架构，即由ASIC+NP+FPGA集成。典型的安全厂商如：McAfee，其网络安全平台创新地采用这一架构，通过AVERT组织设计的ASIC，把指令或计算逻辑固化到芯片中，获得了高速的协议和检测处理能力。使用NP处理SSL加密通信、拒绝服务攻击等消耗计算资源的功能；采用FPGA芯片保证产品的更新升级。FPGA顾名思义就是器件可编程，因而能轻松升级，很好地满足需求变化，延长了产品寿命，有助于网络安全设备跟踪标准和协议的持续变化。同时，FPGA有一定的预留性，一般情况下只用到其容量的20%左右，可充分保证日后升级所用。

5、IDS产品测评技术介绍

目前，市场上存在各种各样的IDS设备，而且各个设备的性能和价格都不尽相同，具体实现方式也存在差异，如何才能找到性价比高、适合自己的IDS设备成为各个公司所关心的问题。对各款IDS设备进行测试评估，是解决这个问题的最可靠的途径。