此外,对于判断不同攻击模式之间的行为关联性,由于分流也将无法识别。最后,目前的负载分流一般是利用专用硬件设备,其主要提供商是国外厂家,其价格自然不菲,再加上多个百兆,一方面占用更多的机架空间,管理麻烦;另一方面,用户额外安全投资也增加了
靠把千兆流量分流到多个百兆IDS只是在没有真正意义上千兆IDS出现前的一种解决方案,千兆的发展也证明了这点。于是人们的目光还是回到了的技术本身的提高上来。否则等到万兆级别的网络出现,是不是还要来多个万兆负载均衡的IDS呢?
3、“协议分析”
“协议分析”应当是目前绝大多数IDS所宣称采用的。协议分析的原理就是根据现有的协议模式,到固定的位置取值而不是一个个的去比较,然后根据取得的值来判断其协议以及实施下一步分析动作。其作用十分类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还可以避免了单纯模式匹配带来的误报。
对千兆IDS 来说,协议分析不仅仅是判断是什么协议那么简单了。要提高其性能和准确性,必须做到更深层次的协议分析,如:高层协议的数据字段的取值。因此,千兆IDS 采用的“协议分析”,就是要求更为完整的协议分析,尽可能的缩减模式匹配的范围。
4、“匹配算法”
现有的商业系统在做完了协议分析后,接下来就是如何去进行模式匹配了。模式匹配就是进行字符串的比较,这就涉及到一个算法的问题。因此,一般在千兆IDS中都会声称其采用了高效的算法。这个高效的算法通常就是BM算法(或改进的)。这种算法是字符串匹配领域十分常用的方法,广泛的应用于文本编辑器的字符串搜索之中,可以有效的提高单条规则匹配报文的匹配效率。
没有采高效算法的的效率是无法想象的,但是在千兆的高速流量下,单纯的单条规则匹配报文的匹配效率提高也不能完全适应其要求,特别是现在的的规则模式在不断增加,对每一个数据包其可能要匹配的次数也在不断增加,因此其性能也无法完全满足。
真正的高效是要结合“匹配算法”和“规则结构”,做到匹配效率和规则数量的无关性,甚至规则越多,效率越高。从目前看来,真正在这方面的突破是体现在启明星辰的“天阗”千兆系统上的。
5、“高性能硬件”
软件的表现要依赖其所处的硬件平台,国内的产品往往将其引擎安装在固定的硬件设备上。因此,从外观上,千兆IDS比百兆IDS显的更上档次,从内部配置上,其CPU、内存等重要部件上规格也更高一些。例如,采用多CPU 方式是可以把多个线程分配到不同的CPU上处理来提高性能。采用“高性能硬件”是可以进一步提高的能力,但绝对不是主要因素。因此,如果发现某个千兆产品只是比百兆多了一块千兆网卡,硬件配置又高一些,那就不要把其当作千兆IDS,其正确名称是“可以接入到千兆环境下的IDS”。
千兆IDS的几大谎言
1、 千兆检测特征达到1800种
不知道从什么时候开始,特征成了一个放卫星式的指标,似乎特征越多其产品能力越强,因此也就出现了如下的现象:对某个号称其特征数为1800种的产品,我们惊奇的发现,其自身控制台和引擎之间的控制信息也列入其中,数量有60条之多;还有对某一个后门,其特征被细化了有50条之多。原来,特征是这么加到这个数量的。不知道这样的检测特征在千兆环境下有什么用? 入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测防火墙入侵检测
千兆IDS中的亮点与谎言
0
相关文章
关注我们
