入侵防范研究的展望(二)
日期:2007-02-12 荐:
*更新Internet协议的问题——几年后,整个Internet会以一个崭新的面貌出现,IPv6提供给我们更广大的地址空间和安全特性。IPv6提供的I ec解决了数据的加密及身份认证问题,它可以有效的保证数据在不安全的网络上进行安全传输,如目前广泛使用的V 技术就是I ec的一个典型应用。但是,I ec也有缺陷,如无法有效防止针对协议本身的攻击等。同时IPv6的可靠性是否如最初所设想的那样,也有待时间的考验!另外由于各安全产品之间传输的数据都经过了加密,且加密所使用的算法也不尽相同,这将使他们之间难以沟通的现状更加恶化,况且加密技术在流通上还有这样那样的限制。 *多元操作环境的问题——随着智能家电的普及和无线网的发展,信息将无所不在。但是,每一个客户端的速度不同、网的带宽、稳定性、应用环境、操作系统也不同。因此,网络上数据传送方式不能是单一的,必须能够自动地转换和适应不同的环境。面对众多的操作平台和环境,怎样为他们提供一个和桌面计算机一样的安全环境,就是我们要解决的一个问题。 *多种网络安全平台的集成问题——下一代计算机和网络,将有能力远远提升网络的技术。理论上,我们希望新一代安全系统能够结合多种技术的优点,做得象三维游戏一样互动,象数据库一样有序和象人一样会思考和总结。但今天,各种网络设备造价浩繁,设置和操作仍是被动式的,相互之间不能互通信息,用户操作十分的不便。因此这些技术及其合成必须有所创新、有所突破。否则集成的将不是它们的优点,而是它们的缺点。 新一代网络入侵防范技术 新一代宽带网络入侵防范体系研究的目标是开创新的技术,让入侵防范系统能适应高带宽和高负荷的网络环境,支持最新的Internet网络协议,并有自我学习的能力。从而形成新一代宽带网络入侵探测技术、新一代网络安全体系结构模型和新一代的网络安全控制平台。 首先,IPv6下的安全产品设计问题——由于IPv6相对IPv4在数据报头上有了很大的变动,所以原来的防火墙产品在IPv6网络上并不能直接使用,必须有一些变动。针对IPv6的Socket套接口函数已经在RFC2133(Basic ocket Interface Exte io for IPv6)中定义,以前的应用程序都必须参考该新的API做相应的改动。 防火墙的设计:IPv4下的防火墙过滤的依据是IP地址和TCP/UDP端口号。IPv4下,IP头部和TCP头部是紧接在一起的,而且其长度是固定的,所以防火墙很容易找到头部,并使用相应的策略。然而在IPv6下TCP/UDP报头的位置有了根本的变化,他们不再是紧接在一起的,通常中间还隔有其他的扩展头部,如路由选项头部,AH/E 头部等。防火墙必须读懂整个数据包才能进行过滤,这样会对防火墙的处理性能会有很大的影响。 IDS(入侵检测系统)的设计:在IPv6下也使我们不得不放弃以往的网络监控技术,投身一个全新的研究领域。首先,IDS产品同防火墙一样,其程序在IPv6下不能直接运行,还要做相应的修改。其次,IDS的工作原理实际上是一个监听器,接收网段上的所有数据包,并对其进行分析,从而发现攻击,并实施相应的报警措施。但是,如果使用传输模式进行端到端的加密,则IDS无法工作,因为其接收的是加密的数据包,无法理解。当然,解决方案之一是让IDS能对这些数据包进行解密,但这样势必会带来新的安全问题。同时IPv6的可靠性是否如最初所设想的那样,也有待时间的考验! 其次,面临日益发达的宽带网,我们将研究“高速网络数据采集技术”。无疑的,新一代的入侵探测技术依然以数据采集为其中心,而这个技术本身最大的问题就是计算能力远远跟不上网络带宽增长。针对这个问题,我们将进行最新的网络采集和协议分析的研究,希望能将网络探测器变得更加快速、经济和容易部署。首先,我们将进行采集器硬件和软件的结合方案的研究,以求将探测器的探测带宽达到最大的速率。另外,我们将研究如何在不稳定的IP的环境上(无论是有线网或无线网)可靠的监控数据。这方面的研究将促成多种新一代的网络探测器,包括:高质量的主干网络探测器,无线网络探测器,ATM网络探测器。 第三,研究如何在最新Internet协议下,在多种不同平台进行入侵探测,得出一个新的解决方案。由于IPv6中引入网络层的加密技术,我们认为未来的网络上的数据通讯的保密性将会越来越强,这使网络入侵探测系统和主机入侵探测引擎也面临多种不同平台部署的问题。我们应研究IDS(入侵检测系统)新的部署方式,再下一步,研究如何才能在任何网络状况、任何服务器、任何客户端、任何应用环境,经过适当的自转换和自适应。 第四,可以将诸如数据发掘,专家系统和神经网络技术融入入侵探测技术中,以建立先进的入侵探测算法的数学模型。今天的网络入侵探测技术,唯一能实现算法是模式匹配。但是,如果新的算法研究成功,我们不但可以保留模式匹配算法的高性能,而且可以使它更聪明,并且大大降低了误报率。这项研究将在未来几年内应用于最新的IDS软件中。 总之,今后的入侵防范研究将围绕Internet本身、网络安全和通讯协议之间,把无序的数据演变成有序的数据,从人控制网络安全软件演变成计算机自我学习,从以技术为本的用户界面演变成以人为本的智能用户界面。
标签: