2.4　网络安全态势感知与入侵检测系统

作为网络性能和安全事件检测中的重要设备,IDS在感知过程中承担了大部分分析指标的监测任务。随着入侵检测技术的发展和完善,IDS逐渐在网络安全管理中承担了策略响应和决策执行等任务,与网络安全态势感知过程的功能产生重叠。下一代的入侵检测系统或网络管理系统将会被网络空间的态势感知系统所取代,但未来改进型的IDS和网络空间态势感知系统之间是存在区别的。

(1)系统主要职能不同。IDS通过实时监测信息流来达到检测网络中存在的攻击,进而保护特定主机和信息资源的目的。其从细节上关注网络安全,对网络内的每次独立的攻击都进行记录和警告。而态势感知系统是给网络管理员提供当前的网络安全态势状况,并提交相关统计分析数据及报表,为保障网络服务的正常运行提供决策依据。这个过程不仅包括了对攻击行为的检测,也包括了为提高网络性能而进行的维护,从一种更宏观的角度诠释网络安全。

(2)系统检测效率不同。当前,IDS检测攻击的误报(False Positive)和漏报(False Negative)极大地打击了网络用户对其的信任,而且基于标记(Signature)的IDS无法检测出未知攻击和潜在的恶意网络行为。态势感知系统却能利用多源异构数据的融合处理,弥补IDS系统中存在的不确定度处理能力不足,能够提供动态的网络态势状况显示,为管理员分析网络攻击行为,及时采取应对策略提供了支撑。

(3)系统信息处理规模不同。当前,网络宽带增长的速度已经超过了计算能力的提供速度,特别是对于入侵检测系统来说,高速网络中的攻击行为实时检测已经成为一个难点问题。但与之不同的是,态势感知系统充分利用了多种数据采集设备,通过融合提高了数据源的完备性,同时通过多维视图显示,融入人的视觉处理能力,简化了系统的计算复杂度,提高了计算处理能力。

(4)分析数据来源不同。IDS通过安装在网络中不同节点处的代理或Sensor获取网络数据,然后进行融合、关联分析,进而发现网络中的攻击行为。其数据来源较为单一,仍可视为同源数据。而态势感知系统的分析数据来源则是混合型的,入侵检测系统、病毒检测防火墙等工具均可提供安全信息。态势感知系统融合这些设备的不同格式的数据信息,进行态势分析和可视化显示。

以上几点决定了网络安全态势感知系统与IDS之间的区别,但IDS作为态势感知系统的底层组件和重要数据来源,其研究非常必要。

网络安全态势感知框架包括分布式入侵检测、安全保护、策略管理、联动控制和智能决策等相关安全技术,入侵检测或下一代分布式入侵检测系统只是其中一种。IDS作为网络安全态势感知系统的底层数据源,提供了一种工具,通过它能够获取各个安全兴趣点的数据,通过对这些数据的评估分析,达到感知网络安全态势的目的。因此,其准确性和效率直接决定了整个态势感知系统的准确性和效率。作为关键的网络安全防护工具和手段,IDS系统能够提供实时、高效的安全事件告警,能够监视网络中的异常行为,但当前IDS系统的高误警率和虚警率也在一定程度上影响了最终态势感知的效果。鉴于IDS在网络安全态势感知系统中的重要作用,有必要继续加强入侵检测准确度以及性能评估的研究。