基于签名的入侵检测已经过时了,不仅因为技术信息管理的不足,还因为有太多方式愚弄。
基于签名的入侵检测已经过时的不仅是因为技术的信息管理缺陷也因为有太多方式愚弄。
甚至网络安全系统意识到签名不削减了。上个月,它宣布了一项新的威胁预防组件Proventia少依赖签名和脆弱性管理。
攻击和渗透测试工具,如画布和MetaSploit,可以改变攻击模式。MetaSploit还包括工具编码shellscripts黑客(可执行代码),加密远程shell连接,应用程序层碎片在这种随机,微小的碎片,他们不能分析了传感器最完美的id。
“想象一下,如果一个id必须解码的一切过去了。然后最重要的是,如果一切都是在小数据包发送。假设削减遇到在一个包,在另一个“我”,“b”和两个“n”,“阁下安全组的创始人穆阿维拉说。
ids看不到一个加密远程shell连接因为他们不能执行应用程序层de-fragmentation——它需要太多的处理能力,等等。此外,IDS传感器只会提醒shellscript如果匹配签名,由编码容易改变它。
有许多其他方法绕过基于签名的IDS系统,所以难怪供应商疯狂与其他监控、相关性和屏蔽技术。