返回
评测之外粗略评价nids的检测能力

评测之外粗略评价nids的检测能力

ID:20301271

大小:66.00 KB

页数:7页

时间:2018-10-10

评测之外粗略评价nids的检测能力_第1页
评测之外粗略评价nids的检测能力_第2页
评测之外粗略评价nids的检测能力_第3页
评测之外粗略评价nids的检测能力_第4页
评测之外粗略评价nids的检测能力_第5页
资源描述:

《评测之外粗略评价nids的检测能力》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、评测之外粗略评价NIDS的检测能力~教育资源库  现在很多企业都力图通过增加设备投入来加强自身网络的安全性,继防火墙之后入侵检测类产品已经越来越多地被列入了采购的清单。由于看好这块市场,很多并不具备足够研发实力的纷纷推出了所谓有自主知识产权的入侵检测产品,与其他当前比较热门的安全产品一样,入侵检测产品市场也呈现了鱼龙混杂的局面。    如何为自己挑选到一款相对较好的NIDS产品呢?用户当然可以参考一些第三方评测机构的报告,比如国外比较出名的NSS、OSEC的评测。这些评测从技术上来看还是比较完善的,结果

2、也是相对公平的,但仔细看这些评测报告,会发现存在着一些问题:1.基本上没有国内产品参与过此类评测,所以无法从报告中了解很多国内产品的情况,而我们的采购则基本上以国内的产品为主。2.比较侧重性能的测试,在检测能力的评测上比较弱,用于测试的攻击都相对很老,于是出现结果你好我好大家都好的局面,因此无法了解产品对于攻击的检测能力。    了解一个产品好坏最好的办法当然是一段时间在实际环境中的试用,这样可以了解产品使用起来是不是顺手,漏报误报如何,还会很快暴露出评测过程中不会出现的问题。但大多数的情况是在采购过程

3、中除了简单的测试外,也没有评测报告可以参考,那么我们能不能从侧面粗略评价一下NIDS的检测能力呢?    当前主流的NIDS从技术上还是采用以误用检测为主的方式,也就是说NIDS对于新攻击的检测与病毒检测类似,发现新的漏洞或攻击方式以后,厂商在产品的规则集中添加相应的特征,用户获取更新后的规则集后具备对新攻击的检测能力。    现在各大厂商都号称自己的产品能够检测数以几千计的攻击,在做宣传的时候能检测的攻击数吹得就如同文革时候放高产卫星一样,你说一千那我就说两千,你说两千我就说三千,做演示的时候厂商往往

4、会打开产品的帮助文件让你看看里面所列的各种攻击名称和相关说明,以使你确信他们的产品真的具备检测很多种攻击的能力。事实情况是不是真的如厂商说的那样吗?很不尽然。    国际上比较权威的漏洞数据库及索引有SECURITYFOCUS、CVE、OSVDB,国内最权威和完整的中文漏洞数据库则当数绿盟科技。SECURITYFOCUS公司的漏洞数据库于BUGTRAQ,目前收录的条目超过10000条;CVE本身并不是漏洞数据库,它是一个对同一漏洞统一编号系统,目前收录的条目超过7000条;OSVDB是近期公布的一个开放

5、源码的漏洞数据库,目前收录的条目超过8000条;国内绿盟科技的数据库目前收录条目超过6000条。在这些漏洞中,其中大部分是本地漏洞,不在NIDS检测的侯选之列,在远程可利用的侯选漏洞列表中,有的利用难度太高而不具真正的可用性,有的影响的软件使用量太少,有的漏洞太老当前已经基本上不存在了,有的利用方式现有NIDS技术无法实现检测,经过层层筛选真正值得NIDS去检测的漏洞攻击也就是1000左右的数量级。当然,厂商根据自己NIDS产品的定位可能会加入不少并不是攻击检测的网络监控类规则,比如各种服务的用户登录、

6、用户执行某些操作等等,但这些不会是规则的主要构成部分。那么有的厂商为什么会号称有几千条的规则呢?事实上规则看起来数量多很多时候并不意味着NIDS的检测能力强,由于NIDS产品技术的复杂性,情况有可能正好相反,可能的原因有几方面:    1.NIDS产品检测引擎实现简单,缺乏必要的关联能力,只能检测并报出同一种攻击的多个具体操作,而这些却被厂商吹成是检测到多个攻击。以Snort为例,用于检测同一个版本的DeepThroat后门规则有好几条,无法关联多个事件的Snort引擎只能检测到后门执行的某些操作,而无

7、法给出一个抽象层次更高的告警。    alertudp$EXTERNAL_any->$HOME_2140(msg:BACKDOORDeepThroat3.1Connectionattempt;content:00;depth:2;classtype:misc-activity;sid:1980;rev:1;)  alertudp$HOME_2140->$EXTERNAL_any(msg:BACKDOORDeepThroat3.1ServerResponse;content:AhhhhMyMo

8、uthIsOpen;reference:arachnids,106;sid:195;classtype:misc-activity;rev:4;)  alertudp$EXTERNAL_any->$HOME_3150(msg:BACKDOORDeepThroat3.1Connectionattempt[3150];content:00;depth:2;classtype:misc-activity;sid:1981;rev:1;)  

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。