通信首页 | 产品超市 | 资讯 | 技术 | 行业研究 | 访谈 | 专题 | 社区 | 展会 | 政策法规 | 综述
3G | NGN | VoIP | IPTV | 手机电视 | 对讲机 | 路由器 | 交换机 | 布线 | 安全 | 服务器 | UPS
慧聪网首页 > 通信行业 > 技术文章 > 数据通信
行业搜索
IDS及其安全性测试
2006年3月23日 10:6  来源:现代通信  作者:陈清明  
  随着Internet网络应用范围的不断扩大,网络安全问题显得日益突出。网络入侵行为的日益频繁,网络攻击的方式日益多样化和隐蔽化,给发展中的电子政务和电子商务应用带来了安全隐患。 网络入侵检测正是为保证计算机网络系统的安全而设计的一种能够及时发现并报告网络系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。信息安全产品市场上的入侵检测产品类型越来越多,国内许多信息安全厂商也已开发出自主的入侵检测系统(IDS)产品,打破了由国外厂商垄断的市场格局。

  IDS测试要求

  随着IDS应用需求的兴起,很多厂商(防火墙厂商、传统的通信产品厂商和PC厂商)都纷纷涉足这一市场,不同产品的安全功能结构、技术参数和可靠性参差不齐;与此同时,由于缺乏相应统一的安全技术规范,产品消费者和评估者难以对IDS产品的安全性和性能指标项进行客观的技术评价。

  ISO 15408(通称CC)自1999年公布以来,已得到广大国家的认可,被广泛应用于IT安全评估。目前已有15国参与CC互认,我国在2001年将CC等同采用为国家标准GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》。在实际评估应用过程中,评估方和厂商可在CC这一通用准则要求的基础上根据不同产品类型,遵照“PP和ST的产生指南”(ISO/IEC JTC 1/SC 27 N 2333)的要求,制订出具体产品类型的保护轮廓(Protection Profile,PP),通过分析在低风险网络环境下入侵检测系统应能对付的威胁,定义出其应实现的安全目标,最后提出了IDS的最低安全功能要求。

  IDS功能要求

  IDS应实现的基本功能包括以下几点:

  数据采集

  要求IDS能对目标系统中所发生的以下事件实施监控:入侵检测功能的启动和关闭、用户登录身份鉴别行为、系统数据访问、应用服务请求、网络流量变化、安全配置改变等。对于所监控事件,要求IDS系统至少能采集与事件有关的以下信息:事件的日期与时间、事件的类型、主体身份及事件的结果(成功或失败)。

  数据分析

  数据分析方法与IDS实现的机理密不可分,不同的分析方法表现为不同IDS产品的检测效率大不一样。在每一分析结果中记录的内容包括:日期与时间、事件类型、数据来源、事件的结果(成功或失败)及其他相关信息。

  入侵反应

  当检测到入侵行为发生时,IDS应能向管理控制台发出报警并能采取适当行动,如阻断非法连接、重新配置系统组件与其他安全工具(如防火墙)联动,以阻断入侵行为等。

  规则管理

  为有效地捕捉入侵行为,入侵检测规则数据库的容量大小是衡量IDS检测能力强弱的重要指标项。但是,由于新的入侵行为在不断出现,规则库内容应能满足实际入侵行为特征的变化而进行不断补充、修改,因此,IDS应支持用户自定义检测规则来灵活制定自己的安全策略,或者提供规则更新升级的接口(如定期升级等)。

  数据查阅

  IDS应能对所采集和分析的数据进行存储,以提供用户对历史数据进行查询、浏览、删除、转存和统计报表制作等操作。查阅内容可包括检测事件名称、发生日期、事件的来源与目的地址、事件内容描述等。此外,IDS应明确具有读访问权限的授权用户,并禁止其他用户访问IDS数据。

  IDS安全性要求

  IDS可能面临的威胁

  由于部署在复杂的网络环境中,IDS自身运行安全可能面临的威胁主要包括:

  数据泄漏 IDS收集和产生的数据在各组成部分之间传输时被非法截取。

  非法数据流 IDS因无法处理分析一些异常的数据流而导致功能故障。

  数据丢失 IDS收集和产生的数据遭到未授权用户的删除或毁坏。

  监控失败 IDS无法检测一些未授权访问尝试行为和功能使用行为。

  反应失败 IDS无法对已确定的或可疑的脆弱性和非正常活动产生反应。

  配置修改 由于误操作,用户不适当地改变了IDS的规则配置导致功能失效。

  IDS安全功能要求

  为了有效地对抗以上威胁,保证IDS及其各组成部分之间的安全有效工作,IDS应具备如表1所列的安全功能要求。

  

  

  (1)安全功能保护类

  IDS应采取一定的安全策略,包括用户身份鉴别机制、不同用户角色划分和审计记录查询限制等等,IDS在执行每一项安全功能时应激活这些安全策略;IDS各组成部分之间(如不同检测引擎之间以及每一检测引擎和控制中心之间)应维持各自的安全域,防止受到其他不可信部分的干扰和破坏;IDS管理控制中心和其他组成部分之间的数据传输应采取加密措施,以防止泄漏。

  (2)安全管理类

  IDS应区分不同级别的安全管理角色,并将不同用户与相应的角色关联;IDS应将系统安全配置的修改等管理权限授权给IDS管理员,而其他用户(诸如操作系统管理员)则无此权限;IDS应定义允许哪些角色具有查询、修改和删除系统中的用户安全属性信息和审计记录的能力。

  (3)用户身份鉴别类

  IDS应采取一定的安全鉴别策略,每个用户在被允许执行一定的功能行为之前,身份必须得到成功鉴别;管理控制中心应设定一个用户鉴别尝试最大次数,当达到或超过规定的不成功鉴别尝试的次数时,应阻止用户的进一步鉴别尝试;IDS应对每个用户的安全属性(包括用户身份、口令字等鉴别数据以及授权等)进行定义,以便有足够的用户信息对其进行身份鉴别。

  (4)安全审计类

  IDS应该对审计功能的启用和关闭、鉴别机制的使用等事件产生审计记录,每一条审计记录至少应记录以下信息:事件时间、事件名称、事件类型、主体身份和事件结果(成功或失败);IDS应能提供授权管理员对日志信息进行查询、统计、条件排序的功能,审计记录格式应便于用户理解;IDS应保护已存储的审计记录,防止非法删除,在审计存储耗尽、失败或受到攻击等情况发生时,应能够保持最近一段时间的审计记录。

  IDS性能要求

  随着网络安全产品市场的形成和成熟,不同厂商的同一类型的产品其功能将趋于同化,产品功能的竞争逐步让位于性能高低的较量。从实际应用情况来看,许多网络安全设备(如防火墙、IDS和安全审计产品)由于需要检测网络数据流量、分析网络数据报文,又多分布在网络数据流量较为集中之处,其处理速度一直是影响网络性能的一大瓶颈。

  可检测攻击特征数

  该静态指标用以反映IDS能够识别的网络入侵行为类型和所支持的网络协议情况,直接表现为IDS检测规则(特征)库的大小。实际由于各厂商对定义的规则含义和规则内容的新旧不一样,该指标纯粹数量的可比性不强。

  漏报和误报情况

  过多的误报往往导致系统告警日志迅速增长,或者正常的网络访问被拒绝,而真正的入侵活动则可能淹没在泛滥的虚假告警中无法识别。误报的主要原因是模式匹配的检测技术难以(来不及且不足以)对未知攻击包进行检测,导致分析判断失误。和IDS误报相比,由于采用模式匹配的分析方法,面对每天都有新的攻击方法产生和新漏洞的发布,而IDS攻击特征库却未能及时更新,这是造成IDS漏报的最大原因。

  检测速度

  随着带宽需求的不断增长,高速网络环境特别是目前常用的千兆以太网对IDS的检测速度提出了更高的要求。IDS通常以并联方式接入网络,分析数据包中是否具有某种攻击的特征,若其检测速度跟不上网络数据的传输速度,就会漏掉部分数据包,从而也会导致漏报而影响系统的准确性和有效性。

  目前提高IDS检测速度的方法主要有:优化IDS系统硬件平台,使硬件性能达到最佳;优化网络数据包处理技术、协议分析技术和检测技术,提高分析检测效率;优化IDS在网络中的部署,缓解检测吞吐量不够的问题。

  IDS测试方法

  目前信息安全产品测试方法主要有验证法、分析法、模拟法和测量法等。对于IDS产品来说,对应于基本功能、安全性和性能3部分不同的测试内容,采用的测试方法不尽相同。

  功能测试一般采取验证法,也就是依照产品本身的功能设置和使用方法依次验证IDS的数据收集、分析和反应等功能是否能准确实现。

  安全性测试一般是根据IDS的应用网络环境模拟构建测试环境,运用适当的测试工具(包括一定的攻击性工具),综合采用验证、分析和渗透性攻击的方法,检测IDS的各项安全功能项是否符合要求,从而判断IDS自身的安全性。对于IDS产品来说,最有效的方法就是运用现有商业化的漏洞扫描工具或自编攻击性工具进行渗透性测试,观察IDS的审计记录和检测反应。

  IDS的性能测试是为了获取对IDS产品在检测速度和检测效率等方面的可测量的指标值,目前尚处于探索阶段。检测速度的测试一般是利用网络性能测试工具( 如Spirent Communications公司的SmartBits设备) 在网络环境中“造”出一定的背景流量,并检测在不同帧长、不同背景流量下IDS对某类入侵行为的检测成功率;检测效率的测试包括对IDS的误报率和漏报率的检测,由于缺乏统一规范的大容量检测特征库,目前的测试还局限于采取样本抽样结果推算的测试模式。
 
 [关键词]:IDS 网络安全  发表评论    【推荐】 【打印

相关文章 更多 
·北电分层防御架构助力全球网络安全  (5.17 14:13)
·ITU 赵厚麟局长解读第38届世界电信日主题  (5.9 14:50)
·ADSL用户遭盗号 消费者加强网络安全意识  (3.15 14:40)
·交换机网络安全策略全方位解析  (12.29 14:18)
·NGN网络安全问题分析和对策  (12.19 14:46)
·诺基亚东软网络安全领域合作 产品12月推出  (12.8 11:0)
·教你架设安全的交换机系统  (12.6 13:51)
·交换机配置中的安全性  (12.6 13:41)
·第三代移动通信的网络安全探讨  (11.29 11:41)
·电信网络安全应对策略解析  (11.2 17:34)
我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名

最新求购
·求购同轴混装电缆线
·求购北京地区库存积压R..
·求购北京地区库存积压R..
·求购光分路器散件
·求购五岳鑫语音卡
最新供应
·供应圆刚视频转换器 AV..
·供应NF-3107对讲机
·供应GSM无线传真机
·供应世界第一品牌防雷器..
·供应LB-500HM编码对讲主机
文字广告
每日新闻排行
·任正非华为内刊专稿:..
·任正非要传承床垫文化..
·史炜再说TD-SCDMA 华为..
·老式大哥大手机频现身..
·联通关闭2000家网吧 指..
·SP业务量平均下滑超六..
·3G增值业务之争升级 中..
·信产部严令:TD测试只..
热点专题
短距离无线通信协议挨个数
破解VPN技术
访谈
导航系统将成为手机标配
访宇达电通总经理李敬平先生
揭开位置服务技术的神秘面纱
访东信北邮数据业务部经理王欣
交易市场
每日新帖
·电信砖家,你总得给个意..
·3G时代,我们将用怎样..
·朗讯中国前高管不交税..
·日本洋垃圾变身“高档..
·致业外人士:你有什么..
·求救各位高手和专家
·朗讯中国追百万债款 前..
·[原创]美新贵抢占手机..
·史炜起诉新浪 指责其恶..
·中国移动美女日记