(2) 針對IDS自身的攻擊無法防護(hù);

(3) 不能實(shí)現(xiàn)加密、殺毒功能;

(4) 檢測到入侵，只進(jìn)行告警，而無阻斷等。

IDS和防火墻均具備對方不可代替的功能，因此在很多應(yīng)用場景中，IDS與防火墻共存，形成互補(bǔ)。

根據(jù)網(wǎng)絡(luò)規(guī)模的不同，IDS有三種部署場景：小型網(wǎng)絡(luò)中，IDS旁路部署在Internet接入路由器之后的第一臺交換機(jī)上，如圖5所示;中型網(wǎng)絡(luò)中，采用圖6的方式部署;大型網(wǎng)絡(luò)采用圖7的方式部署。

圖5 小型網(wǎng)絡(luò)部署

圖6 中型網(wǎng)絡(luò)部署

圖7 大型網(wǎng)絡(luò)部署

4、IDS硬件體系架構(gòu)分析

主流的IDS的體系架構(gòu)分為X86、NP、ASIC、FPGA及混合架構(gòu)，對各體系架構(gòu)的原理及特點(diǎn)介紹如下。

4.1 X86架構(gòu)

X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，是早期防火墻、入侵防護(hù)系統(tǒng)開發(fā)的主要平臺。其安全功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富?；谶@一架構(gòu)產(chǎn)品開發(fā)周期短，成本低，是絕大多數(shù)網(wǎng)絡(luò)安全廠商的選擇。但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計(jì)算平臺，X86的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達(dá)到接近2Gbps的吞吐量，但是由于通用CPU的處理能力有限，盡管軟件部分可以盡可能地優(yōu)化，但實(shí)際很難達(dá)到高速率和低時延。

4.2 NP架構(gòu)

網(wǎng)絡(luò)處理器(NP)技術(shù)，NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，體系結(jié)構(gòu)如圖8所示。其體系結(jié)構(gòu)和指令集對于入侵檢測系統(tǒng)和防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力。然而，NP的弱點(diǎn)也比較明顯，其在4-7層的數(shù)據(jù)處理上相對較弱。在檢測策略比較復(fù)雜(如入侵防護(hù)系統(tǒng)所用的檢測策略)的情況下，吞吐速率有明顯下降，時延明顯。

圖8 網(wǎng)絡(luò)處理器架構(gòu)

4.3 ASIC架構(gòu)

相比之下，ASIC通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過把指令或計(jì)算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了安全產(chǎn)品的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì)，能夠通過軟件改變應(yīng)用邏輯，具有更廣泛的適應(yīng)能力。但是，ASIC的缺點(diǎn)也同樣明顯，它的靈活性和擴(kuò)展性不夠，開發(fā)費(fèi)用高，開發(fā)周期太長，一般耗時接近2年。 雖然研發(fā)成本較高、靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應(yīng)用于模式簡單、對吞吐量和時延指標(biāo)要求較高的電信級大流量的處理。

4.4 FPGA架構(gòu)

相對于NP，F(xiàn)PGA是對數(shù)據(jù)進(jìn)行高速并行處理的器件，具有更強(qiáng)的靈活性和擴(kuò)展性。在IDS中FPGA擅長把一些安全特征轉(zhuǎn)化成邏輯，在實(shí)現(xiàn)過程中能夠同時匹配上千條規(guī)則，其并行速度超過普通CPU，而且相對于并行ASIC，其靈活性占有較大優(yōu)勢。如圖9所示為FPGA架構(gòu)典型應(yīng)用。其中SPC表示：Services Processing Card;NPC表示：Network Processing Card。

圖9 FPGA架構(gòu)應(yīng)用

4.5混合架構(gòu)

混合體系架構(gòu)，即由ASIC+NP+FPGA集成。典型的安全廠商如：McAfee，其網(wǎng)絡(luò)安全平臺創(chuàng)新地采用這一架構(gòu)，通過AVERT組織設(shè)計(jì)的ASIC，把指令或計(jì)算邏輯固化到芯片中，獲得了高速的協(xié)議和檢測處理能力。使用NP處理SSL加密通信、拒絕服務(wù)攻擊等消耗計(jì)算資源的功能;采用FPGA芯片保證產(chǎn)品的更新升級。FPGA顧名思義就是器件可編程，因而能輕松升級，很好地滿足需求變化，延長了產(chǎn)品壽命，有助于網(wǎng)絡(luò)安全設(shè)備跟蹤標(biāo)準(zhǔn)和協(xié)議的持續(xù)變化。同時，F(xiàn)PGA有一定的預(yù)留性，一般情況下只用到其容量的20%左右，可充分保證日后升級所用。

5、IDS產(chǎn)品測評技術(shù)介紹

目前，市場上存在各種各樣的IDS設(shè)備，而且各個設(shè)備的性能和價格都不盡相同，具體實(shí)現(xiàn)方式也存在差異，如何才能找到性價比高、適合自己的IDS設(shè)備成為各個公司所關(guān)心的問題。對各款I(lǐng)DS設(shè)備進(jìn)行測試評估，是解決這個問題的最可靠的途徑。而且經(jīng)常性的測試評估有利于及時了解技術(shù)發(fā)展現(xiàn)狀和存在的不足。

5.1依據(jù)資質(zhì)進(jìn)行篩選

在測試前，我們可以先看看測試的IDS產(chǎn)品取得了哪些認(rèn)證。目前國內(nèi)主要有4家信息安全產(chǎn)品的認(rèn)證機(jī)構(gòu)，分別是公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、國家保密局涉密信息系統(tǒng)安全保密測評中心、中國人民解放軍信息安全測評認(rèn)證中心、中國國家信息安全測評認(rèn)證中心。

這4家認(rèn)證機(jī)構(gòu)中，公安部的認(rèn)證對IDS產(chǎn)品來說是必須的，通過了公安部的認(rèn)證，才能領(lǐng)取計(jì)算機(jī)安全專用產(chǎn)品銷售許可證。

5.2確定重要評價指標(biāo)

如果需要測評的IDS有經(jīng)過上面的多家認(rèn)證機(jī)構(gòu)的認(rèn)證之后，說明質(zhì)量基本是沒有問題的。但是很多時候我們需要一款適合自己的產(chǎn)品，好并不代表適合。所以，我們需要測試IDS產(chǎn)品的各個方面的性能，對其有全面的了解。評測IDS的指標(biāo)主要有：及時性、準(zhǔn)確性、完備性、健壯性、處理性能、易用性。