●IDS分类7-Network IDS(NIDS,网络IDS):NIDS对任何流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器,但是近来他们变得更加智能化,能够破译协议并维护状态。NIDS存在基于应用程式的产品,只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析,但是在网络高负载下,还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。
●IDS分类8-Network Node IDS(NNIDS,网络节点IDS):有些网络IDS在高速下是不可靠的,装载之后他们会丢弃很高比例的网络信息包,而且交换网络经常会防碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机,从而缓解了高速和交换的问题。虽然NNIDS和个人防火墙功能相似,但他们之间更有区别。对于被归类为NNIDS的个人防火墙,应该对企图的连接做分析。例如,不像在许多个人防火墙上发现的“试图连接到端口xxx”,一个NNIDS会对任何的探测都做特征分析。另外,NNIDS还会将主机接收到的事件发送到一个中央控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。
●IDS分类9-Personal Firewall(个人防火墙):个人防火墙安装在单独的系统中,防止不受欢迎的连接,无论是进来的还是出去的,从而保护主机系统。注意不要将他和NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。
●IDS分类10-Target-Based IDS(基于目标的IDS):这是不明确的IDS术语中的一个,对不同的人有不同的意义。可能的一个定义是文档完整性检查器,而另一个定义则是网络IDS,后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度,因为他不搜寻那些不必要的攻击。
IDS性能指标
对于IDS,用户会关注每秒能处理的网络数据流量、每秒能监控的网络连接数等指标。但除了上述指标外,其实一些不为一般用户了解的指标也很重要,甚至更重要,例如每秒抓包数、每秒能够处理的事件数等。
1.每秒数据流量(Mbps或Gbps)
每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反应网络入侵检测系统性能的重要指标,一般涌Mbps来衡量。例如10Mbps, 100Mbps和1Gbps。
网络入侵检测系统的基本工作原理是嗅探(Sniffer),他通过将网卡配置为混杂模式,使得网卡能够接收网络接口上的任何数据。
假如每秒数据流量超过网络传感器的处理能力,NIDS就可能会丢包,从而不能正常检测攻击。但是NIDS是否会丢包,不主要取决于每秒数据流量,而是主要取决于每秒抓包数。
2.每秒抓包数(pps)
每秒抓包数是反映网络入侵检测系统性能的最重要的指标。因为系统不停地从网络上抓包,对数据包作分析和处理,查找其中的入侵和误用模式。所以,每秒所能处理的数据包的多少,反映了系统的性能。业界不熟悉入侵检测系统的往往把每秒网络流量作为判断网络入侵检测系统的决定性指标,这种想法是错误的。每秒网络流量等于每秒抓包数乘以网络数据包的平均大小。由于网络数据包的平均大小差异很大时,在相同抓包率的情况下,每秒网络流量的差异也会很大。例如,网络数据包的平均大小为1024字节左右,系统的性能能够支持10,000pps的每秒抓包数,那么系统每秒能够处理的数据流量可达到78Mbps,当数据流量超过78Mbps时,会因为系统处理但是来而出现丢包现象;假如网络数据包的平均大小为512字节左右,在10,000pps的每秒抓包数的性能情况下,系统每秒能够处理的数据流量可达到40Mbps,当数据流量超过40Mbps时,就会因为系统处理但是来而出现丢包现象。
在相同的流量情况下,数据包越小,处理的难度越大。小包处理能力,也是反映防火墙性能的主要指标。
3.每秒能监控的网络连接数
网络入侵检测系统不但要对单个的数据包作检测,还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。这种分析延伸出很多网络入侵检测系统的功能,例如:检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录和回放、硬盘共享的监控等。
4.每秒能够处理的事件数
网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。有的厂商将反映这两种处理能力的指标分开,称为事件处理引擎的性能参数和报警事件记录的性能参数。大多数网络入侵检测系统报警事件记录的性能参数小于事件处理引擎的性能参数,主要是Client/Server结构的网络入侵检测系统,因为引入了网络通信的性能瓶颈。这种情况将导致事件的丢失,或控制台响应但是来了。
