目前的宽带环境使得黑客攻击、内部违规等更易实施,研制出一套适合我国国情的网络监控管理理论基础和新技术,对于网络安全研究形成了极大的挑战。
一个大型的高速宽带网络的实时入侵监测系统,如果完全采用集中方式部署的话是不太现时的,原因在于带宽过高,而入侵检测需要协议分析、内容检索等多项处理。在主干上一个点进行捕获和分析,要想不遗漏任何一个数据比特难度是非常大的。比如一个Cisco GSR 12416的背板带宽为320Gbps,某省的高速宽带网就要用上数十台,因此要在一个点上处理这么多数据是很难做到的。即使对于一个单个节点IDS的设计也面临着网络带宽与IDS处理性能的矛盾,一方面是宽带网主干海量的数据吞吐能力与实时入侵监测设备捕获能力上的矛盾,另一个是主干网上数据的复杂性、海量性与实时入侵监测设备处理能力上的矛盾。因此,在体系结构上,我们认为宽带网实时入侵监测系统应是部署为分布式的,在单个节点的设计上,还应分为两个部分,即数据捕获部分和数据处理部分。
数据捕获部分要实现两个目的,一个是完全无遗漏的捕获,另一个是进行预处理,帮助后端系统解决好处理能力上的矛盾。数据无遗漏的获取可以通过从交换设备拷贝至光纤通道,这既可以通过端口镜像实现,也可以和硬件厂家合作实现。还有另外一种方法,通过特殊硬件从光纤直接获取,再以较低带宽的多个端口传出,由于单端口带宽相对有限,而且该方法不会对交换机及网络性能造成任何不良影响,也是值得考虑的。
对于获取的数据还需要进行预处理并以更低的带宽分发给处理机群,在分发中还必须考虑负载均衡以及维护连接完整性等问题。在处理机上的处理和传统的IDS类似,主要是给出正常访问或者异常数据的事件信息,发送给一个中央存储设备,经过分析处理,可以得到本地区的安全状况。如果是大型系统,还应上报到上一级存储中心进行汇总分析,这样一个分布式的宽带IDS就形成了。
需要说明的是,宽带IDS和10M/100M局域网IDS尽管有些技术是类似的,但所关注的目标应该是不一样的,通过宽带IDS系统应该得到网络安全状况的统计信息作为网络管理和维护的参考,而不是具体攻击行为或者实时响应能力。
|