返回
nids的局限性

nids的局限性

ID:22839082

大小:79.00 KB

页数:14页

时间:2018-10-31

nids的局限性_第1页
nids的局限性_第2页
nids的局限性_第3页
nids的局限性_第4页
nids的局限性_第5页
资源描述:

《nids的局限性》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、NIDS的局限性~教育资源库  网络入侵探测系统不是非常可靠,公认只能做主要安全系统的一个补充;  主系统如防火墙,加密和授权是非常可靠的,一些bug或者错误的设置可能会导致这些系统出问题;但是它们最底层的原理都经验证是准确的。但NIDS底层的原理就不是完全准确的;  所有的入侵探测系统都会有这两个问题:为什么正常的工作会有许多的错误告警;  为什么仔细的hacker可以躲开IDS或者使IDS无效;当然,可以找出很多的例子来表明NIDS是不准确的。  但这并不表示入侵探测系统就是没用的。在当今的网络中,攻击如此普遍,以致人们在第一次安装这样的系统时,通常都会大吃一惊(无论是在防火墙外还是防火

2、墙内);  一个好的IDS系统可以很好的提高一个站点的安全性;有一点必须提醒的就是IDS只是一个补充;一个证实为正确的系统通常由于人为的错误会出故障;而证实为不正确的系统却能很好的工作。  下面将讨论NIDS的一些局限性:  1.交换式的网络(天生的缺陷)  交换式的网络(如:100mbps,千兆位的以太交换机)对NIDS来说,将会造成戏剧性的问题;如果要插入一个sensor来监视所有的数据包是绝不容易的;  已有一些这个问题的解决方案,但不是所有的都令人满意;  嵌入在交换机内的IDS:  一些厂商(Cisco,ODS)内置了IDS在交换机里面。我只能说,这些IDS系统没有商用的NIDS系

3、统那样好的检测范围;  监控端口  许多交换机有一个监控端口可以连接网络分析器;NDIS也可以很容易的加到这个端口;一个明显的问题就是这个端口的速度比交换机的底板要慢很多,以致在高负荷的交换机上,NIDS就不能监测所有的数据。此外,这种端口多是为网络管理做sniffer用,所以就经常会被切换掉;  线缆分流(交换机之间或交换机到接点)  监控台可以直接连在线缆上监控数据报,这可以是交换机之间的线缆,也可以是从交换机到主机的线缆。可以有不同的技术来实现:  线内分流  线内分流就是一种直接插入到通信流中,并拷贝一份相同数据的设备。一个典型的例子就是ShomitiCenturyTap(produ

4、ctsf/tapfamilyf.html)  它直接插入到100mbps全双工的线路中,可以允许一台配有2个网络适配器的计算机  同时读取这2个通道的数据;  吸血鬼分流  在过去的一些日子里,吸血鬼分流是同轴电缆以太网的主要手段,  也是连接末端接点到网络的一个行之有效的方法。  自感应分流  大多数的分流都可以用TDR(TimeDomainReflectometer:时域反射计)检测到;  而自感应分流无需改变线缆,只要安放在线缆的外面,就可以监听线缆的发射的  电磁波。一般,只有间谍才会使用的这种方法。  线缆分流的问题,就在于他们产生了大量的数据流,大多数的NIDS在未能处理这么  

5、高负载之前,就已经瘫痪了。特别是在交换机间的情况,尤其突出。  感谢ChristopherZarcone提供的以上的资料。  基于主机的sensors  从原理上来说,解决交换网络的资源限制的唯一方法就是分布式的基于主机的入侵  探测。象BlackICE和CyberCopMonitor,就是一些个基于主机的Agent包含一个基于  网络的监视本主机的网络的组件,其他的则进行传统的日志和审计功能;  2资源局限性  NIDS位于网络中心位置,他们一定要能坚持不断的分析,和储藏  由可能成千上万的机器所产生的信息,仿效所有机器的连接  发送数据;显然,它并不能完全做到,只有投机取巧了。  下面列

6、出一些典型资源问题.  2.1网络负载流量  当前的NIDS在满负荷的情况下,都很难保持正常功能;平均的情况下一个网站  每帧的大小大约有180字节,在100mbps的以太网上,能以50,000个  数据报/秒的速率传输;但大多数的IDS产品都不能跟上这速度.  绝大部分顾客的实际情况比这个速度相比要慢,但是这仍然是一个值得关心的问题.  当你购买一个IDS产品时,可以问销售商:系统每秒能处理多少个数据报.很多销售商  将设法告诉你每秒能处理多少位。但是真正性能的瓶颈是数据报的数目.实际上所有  的IDS系统能在每数据报1500字节的情况下处理100mbps的流量,却很少有能在  每数据报6

7、0字节的情况下处理100mbps的流量的.  2.2TCP连接  IDS必须为许多TCP连接保持连接状态.这就要求大容量的内存.一些逃避技术将使  问题进一步恶化,它们常常要求IDS甚至在客户/服务器已经关闭它之后,保持连接  信息。  当你购买一个IDS产品时,问销售商:系统能同时处理多少TCP连接.  2.3其他状态信息  在IDS要保存在内存里的状态信息中,TCP只是最简单的例子;  但是还有其它的信息

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。