網(wǎng)絡(luò )安全之入侵檢測技術(shù)

(2) 針對IDS自身的攻擊無(wú)法防護;

(3) 不能實(shí)現加密、殺毒功能;

(4) 檢測到入侵，只進(jìn)行告警，而無(wú)阻斷等。

IDS和防火墻均具備對方不可代替的功能，因此在很多應用場(chǎng)景中，IDS與防火墻共存，形成互補。

根據網(wǎng)絡(luò )規模的不同，IDS有三種部署場(chǎng)景：小型網(wǎng)絡(luò )中，IDS旁路部署在Internet接入路由器之后的第一臺交換機上，如圖5所示;中型網(wǎng)絡(luò )中，采用圖6的方式部署;大型網(wǎng)絡(luò )采用圖7的方式部署。

圖5 小型網(wǎng)絡(luò )部署

圖6 中型網(wǎng)絡(luò )部署

圖7 大型網(wǎng)絡(luò )部署

4、IDS硬件體系架構分析

主流的IDS的體系架構分為X86、NP、ASIC、FPGA及混合架構，對各體系架構的原理及特點(diǎn)介紹如下。

4.1 X86架構

X86架構采用通用CPU和PCI總線(xiàn)接口，具有很高的靈活性和可擴展性，是早期防火墻、入侵防護系統開(kāi)發(fā)的主要平臺。其安全功能主要由軟件實(shí)現，可以根據用戶(hù)的實(shí)際需要而做相應調整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富?；谶@一架構產(chǎn)品開(kāi)發(fā)周期短，成本低，是絕大多數網(wǎng)絡(luò )安全廠(chǎng)商的選擇。但其性能發(fā)展卻受到體系結構的制約，作為通用的計算平臺，X86的結構層次較多，不易優(yōu)化，且往往會(huì )受到PCI總線(xiàn)的帶寬限制。雖然PCI總線(xiàn)接口理論上能達到接近2Gbps的吞吐量，但是由于通用CPU的處理能力有限，盡管軟件部分可以盡可能地優(yōu)化，但實(shí)際很難達到高速率和低時(shí)延。

4.2 NP架構

網(wǎng)絡(luò )處理器(NP)技術(shù)，NP是專(zhuān)門(mén)為網(wǎng)絡(luò )設備處理網(wǎng)絡(luò )流量而設計的處理器，體系結構如圖8所示。其體系結構和指令集對于入侵檢測系統和防火墻常用的包過(guò)濾、轉發(fā)等算法和操作都進(jìn)行了專(zhuān)門(mén)的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對網(wǎng)絡(luò )流量進(jìn)行快速的并發(fā)處理。硬件結構設計也大多采用高速的接口技術(shù)和總線(xiàn)規范，具有較高的I/O能力。然而，NP的弱點(diǎn)也比較明顯，其在4-7層的數據處理上相對較弱。在檢測策略比較復雜(如入侵防護系統所用的檢測策略)的情況下，吞吐速率有明顯下降，時(shí)延明顯。

圖8 網(wǎng)絡(luò )處理器架構

4.3 ASIC架構

相比之下，ASIC通過(guò)專(zhuān)門(mén)設計的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過(guò)把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了安全產(chǎn)品的性能。新一代的高可編程ASIC采用了更靈活的設計，能夠通過(guò)軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點(diǎn)也同樣明顯，它的靈活性和擴展性不夠，開(kāi)發(fā)費用高，開(kāi)發(fā)周期太長(cháng)，一般耗時(shí)接近2年。 雖然研發(fā)成本較高、靈活性受限制、無(wú)法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應用于模式簡(jiǎn)單、對吞吐量和時(shí)延指標要求較高的電信級大流量的處理。

4.4 FPGA架構

相對于NP，FPGA是對數據進(jìn)行高速并行處理的器件，具有更強的靈活性和擴展性。在IDS中FPGA擅長(cháng)把一些安全特征轉化成邏輯，在實(shí)現過(guò)程中能夠同時(shí)匹配上千條規則，其并行速度超過(guò)普通CPU，而且相對于并行ASIC，其靈活性占有較大優(yōu)勢。如圖9所示為FPGA架構典型應用。其中SPC表示：Services Processing Card;NPC表示：Network Processing Card。

圖9 FPGA架構應用

4.5混合架構

混合體系架構，即由ASIC+NP+FPGA集成。典型的安全廠(chǎng)商如：McAfee，其網(wǎng)絡(luò )安全平臺創(chuàng )新地采用這一架構，通過(guò)AVERT組織設計的ASIC，把指令或計算邏輯固化到芯片中，獲得了高速的協(xié)議和檢測處理能力。使用NP處理SSL加密通信、拒絕服務(wù)攻擊等消耗計算資源的功能;采用FPGA芯片保證產(chǎn)品的更新升級。FPGA顧名思義就是器件可編程，因而能輕松升級，很好地滿(mǎn)足需求變化，延長(cháng)了產(chǎn)品壽命，有助于網(wǎng)絡(luò )安全設備跟蹤標準和協(xié)議的持續變化。同時(shí)，FPGA有一定的預留性，一般情況下只用到其容量的20%左右，可充分保證日后升級所用。

5、IDS產(chǎn)品測評技術(shù)介紹

目前，市場(chǎng)上存在各種各樣的IDS設備，而且各個(gè)設備的性能和價(jià)格都不盡相同，具體實(shí)現方式也存在差異，如何才能找到性?xún)r(jià)比高、適合自己的IDS設備成為各個(gè)公司所關(guān)心的問(wèn)題。對各款I(lǐng)DS設備進(jìn)行測試評估，是解決這個(gè)問(wèn)題的最可靠的途徑。而且經(jīng)常性的測試評估有利于及時(shí)了解技術(shù)發(fā)展現狀和存在的不足。

5.1依據資質(zhì)進(jìn)行篩選

在測試前，我們可以先看看測試的IDS產(chǎn)品取得了哪些認證。目前國內主要有4家信息安全產(chǎn)品的認證機構，分別是公安部計算機信息系統安全產(chǎn)品質(zhì)量監督檢驗中心、國家保密局涉密信息系統安全保密測評中心、中國人民解放軍信息安全測評認證中心、中國國家信息安全測評認證中心。

這4家認證機構中，公安部的認證對IDS產(chǎn)品來(lái)說(shuō)是必須的，通過(guò)了公安部的認證，才能領(lǐng)取計算機安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證。

5.2確定重要評價(jià)指標

如果需要測評的IDS有經(jīng)過(guò)上面的多家認證機構的認證之后，說(shuō)明質(zhì)量基本是沒(méi)有問(wèn)題的。但是很多時(shí)候我們需要一款適合自己的產(chǎn)品，好并不代表適合。所以，我們需要測試IDS產(chǎn)品的各個(gè)方面的性能，對其有全面的了解。評測IDS的指標主要有：及時(shí)性、準確性、完備性、健壯性、處理性能、易用性。