| 出版日期:2001-09-10 总期号:1053 本年期号:68 |
|
 |
入侵检测: 防黑“报警器”
陈友梅 赛迪顾问有限公司调查报告显示,2001年上半年中国网络安全软件的销售额为3.8亿元,并且下半年仍将保持较高的增长速度。调查报告还指出,尽管防病毒软件和防火墙仍然是网络安全软件市场中的主要产品,但随着互联网的深入人心,人们对安全认证、信息加密、入侵检测等安全解决方案需求也将会有明显的增加。特别是“红色代码”的出现,使我们在深受其害的同时,也更加意识到了入侵检测的重要性。 入侵检测被认为是继防火墙之后的第二道安全闸门,它与防火墙一起构筑了防黑大堤。所不同的是,如果说防火墙是驻守在企业门口的“警卫”,那么入侵检测系统就像是安装在企业内部的一部“报警器”。当“警卫”一旦失职,即入侵者攻破了防火墙,“报警器”就会马上发出警报。并且,防火墙只有对网上某个单一的点起作用,也只会检查每个进出网络封包的合法性。而入侵检测系统则可以帮助企业抵制来自内部、远程乃至授权用户所进行的网络探测、系统误用和其他恶意行为,防黑客只是入侵检测系统所施展的第一招。 目前市场上出现的入侵检测方式主要有两种,它们分别是基于主机平台的检测和在网络平台的检测。以主机为基础的入侵检测方式是检查所有进出主机的封包,它的运作方式就像个人的防火墙一样,如发现任何可疑的封包。而以网络为基础的入侵检测系统则会仔细检查局域网内所有流通的封包,并把可疑的封包记录下来。这种入侵检测系统会搜查封包上有无被入侵者改过的痕迹,它会比较封包中的实际内容,并依照建立的攻击模式,检查封包有无改动。网络检测平台的代表产品包括Cisco的Secure Intrusion Detection System、Internet Security System(即:ISS)的RealSecure和Symantec的NetProwler,其市场占有率如图所示。 
基于网络平台的入侵检测产品市场占有率 在国内入侵检测市场中活跃的软件厂商还不太多。以Symantec、CA公司为例,这两家产品在产品的定位上也不尽相同。 Symantec:两产品各尽其职 Symantec分别用两种不同的产品来实现这两种入侵检测功能。 Intruder Alert是基于主机的产品,它可检测未经授权及恶意的行为,把对系统的威胁通知给管理员,使他们能够采取预防措施来防止资料被窃取或丢失,从而保护系统、应用及数据不被滥用和误用。该系统可广泛地支持各种系统平台,如Windows NT、Sun Solaris、HPUX、IBM AIX、Novell Netware等等,同时,系统管理员还可以通过Tivoli、BMC和HP OpenView系统管理软件进行管理。 NetProwler是Symantec针对网络平台的动态入侵检测系统。它采用了三层体系结构,可实时地检测并查杀几百种常见的操作系统和应用程序攻击病毒,而不会对网络和应用程序的性能产生任何影响。由于它可以透明方式监控网络数据流,杜绝安全性违规行为并保护企业资源,从而能够加强企业的外围防护功能。 CA:全新定义主机模式 CA公司并没有刻意地将其检测产品简单划分上述两种方式,而只有一种基于网络的检测产品——eTrust Intrusion Detection,并把基于主机的产品定义为核心防护安全解决方案——eTrust Access Control。CA认为,在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。那么,它与基于主机的检测产品相比有哪些不同呢?主要表现为二点:首先,由于eTrust Access Control要远比主机方式的工作原理复杂得多,二者实现安全防护的底层技术机制也不同,使得该产品的安全防护级别较高;其次,对系统性能的影响较低,一般介于1~2%之间(在不同版本的UNIX系统之上会有些不同),最高不会超过5%。 eTrust Intrusion Detection的入侵检测功能主要包括入侵探测和服务拒绝型攻击探测引擎,可以自动识别各种入侵模式,在对网络数据进行分析时与这些模式进行匹配,一旦发现某些入侵的企图,就会进行报警。它可以安装在Windows 95/98/NT等操作系统上,提供了全面地查看有关内容的途径,以易于理解的方式提供了相应的信息。此外,eTrust Intrusion Detection支持以太网、Token Ring和FDDI网络,可以对流经该计算机上多块网卡多个局域网段中的网络流量进行处理。 |
||||||||||||||||
