入侵检测技术的发展方向有哪些
入侵检测技术的发展方向有以下这些:
更广泛的信息源:网络入侵的形式越来越复杂,各种类型的网络应用都可能被攻击者利用。实施入侵检测必须尽可能广泛地收集与入侵行为相关的信息。主机系统的信息、网络系统的信息、应用系统的信息,如交换机、路由器等通信硬件设备的信息、防火墙等安全产品的信息,终端客户主机的配置信息,以及通信连接情况等,与入侵相关的信息都应当被收集,并及时、高效地加以分析,为第一时间检测入侵奠定扎实的基础。
更快速的处理能力:宽带网络技术发展迅速,千兆以太网日益普及,网络带宽的增长速度甚至超越了计算机处理能力的增长速度。入侵检测系统在对数据包进行检查的过程中,往往需要拆封数据包并查看数据负载,此过程需要消耗计算资源。网络带宽的增长意味着入侵检测系统在单位时间内需要处理的数据包数量迅猛增加,也就意味着入侵检测系统必须耗费更多的计算资源来完成必需的检查。目前,入侵检测系统的性能指标与实际需求之间还有很大差距。入侵检测系统的硬件体系、软件结构及处理算法都需要进一步改进,从整体上进一步提升运行速度和工作效率。
分布式的体系结构:传统的入侵检测系统大多采用集中式的体系结构,多个探测结点分别采集信息,并将采集到的信息提交给系统的中心控制器进行集中的分析和处理。集中式的体系结构存在多方面缺陷。第一,信息传输存在时延开销。探测结点采集的信息发送到中心控制器,存在传输时延的问题。或者说,信息收集和信息处理两者之间存在时间上的滞后。中心控制器处理的信息并不能反映网络的实时状态,难以实时发现入侵。第二,信息传输会在一定程度上增加网络通信负担,影响网络的通信性能。第三,中心控制器是整个体系中的检测瓶颈,如果中心控制器的处理能力无法满足入侵检测的计算要求,将有很多信息无法及时处理,造成漏报。此外,中心控制器一旦出现故障,整个入侵检测系统将失效。入侵检测系统采用分布式的体系结构,往往会利用智能代理技术构建。在分布式的入侵检测系统中,需要指定一些代理作为中央代理,负责整体的协调和分析工作,再使用一些本地代理负责局域性事件的处理。网络中每个中央代理在收集本地代理信息的基础上可以信息共享,相互协同。分布式体系结构强调全体智能代理协同工作,准确分析和处理入侵者的攻击意图和攻击手段。
分布式的体系结构:传统的入侵检测系统大多采用集中式的体系结构,多个探测结点分别采集信息,并将采集到的信息提交给系统的中心控制器进行集中的分析和处理。集中式的体系结构存在多方面缺陷。第一,信息传输存在时延开销。探测结点采集的信息发送到中心控制器,存在传输时延的问题。或者说,信息收集和信息处理两者之间存在时间上的滞后。中心控制器处理的信息并不能反映网络的实时状态,难以实时发现入侵。第二,信息传输会在一定程度上增加网络通信负担,影响网络的通信性能。第三,中心控制器是整个体系中的检测瓶颈,如果中心控制器的处理能力无法满足入侵检测的计算要求,将有很多信息无法及时处理,造成漏报。此外,中心控制器一旦出现故障,整个入侵检测系统将失效。入侵检测系统采用分布式的体系结构,往往会利用智能代理技术构建。在分布式的入侵检测系统中,需要指定一些代理作为中央代理,负责整体的协调和分析工作,再使用一些本地代理负责局域性事件的处理。网络中每个中央代理在收集本地代理信息的基础上可以信息共享,相互协同。分布式体系结构强调全体智能代理协同工作,准确分析和处理入侵者的攻击意图和攻击手段。
综合的安全态势感知:随着网络战这一新的战争形式的出现,以APT攻击为代表的网络攻击技术向专业化、复杂化、隐蔽化和长期化方向发展,给现有的入侵检测技术带来了严峻的挑战。斯诺登事件披露出来的一系列材料充分说明了这一点。如何从海量主机和网络数据中发现潜在的安全威胁,准确了解并预测网络的安全态势,是入侵检测技术下一步重点需要解决的问题。