IDS入侵检测在企业应用中的四种难题

核心提示： IDS应用难点之二IDS的检测速度，是影响NIDS的技术难题，IDS入侵检测在企业应用中的四种难题(2)，为了实时对网络进行入侵侦测，每个基于NIDS的吞吐量是一定的，由于HIDS系统在反应的时间上依赖于定期检测的时间间隔，反应较慢，普通的IDS产品或许可以应付一般规模的企业检测要求，但对

IDS应用难点之二

IDS的检测速度，是影响NIDS的技术难题。为了实时对网络进行入侵侦测，每个基于NIDS的吞吐量是一定的，普通的IDS产品或许可以应付一般规模的企业检测要求，但对于电信级大型企业则有困难。这方面，赛门铁克建议，如果企业财力允许，可以考虑在网络内同时安装几套IDS，各自分别负责检测一部分，这样就可以解决检测速度吞吐量不够的问题。另外，可以考虑在覆盖企业网络终端的防病毒工具上做足文章。防病毒工具中集成一些IDS的功能，让IDS在网络内的每台PC上实现，以此来解决检测速度的问题。目前赛门铁克正在做这方面的工作。

东软的NetEye IDS提高检测速度的方法是，在操作系统的内核级别进行数据重组，对收取数据的驱动进行大量的优化，减少了系统内核到用户空间的数据拷贝，提高了系统的性能。NetEye IDS是软硬一体的系统结构，选取高性能的专用硬件，并通过大量测试，保证了硬件性能的最优化，通过选择专用的数据库，进行高效的索引，不但减轻了用户的管理负担，更极大地提高了存储效率。

上海金诺在解决检测速度问题上，首先是将系统的硬件平台进行优化，使硬件性能达到最佳，然后是利用一些先进的技术，如高性能的网络数据包处理技术（包括金诺网安独有的零拷贝技术、零系统调用技术等）、高性能协议分析技术（包括基于协议状态的检测技术）和基于预分析的检测技术等。

IDS应用难点之三

HIDS和NIDS，哪一个更好？

赛门铁克认为，NIDS只检查它直接连接网段的通信，不能检测在不同网段的网络包，在使用交换以太网的环境中就会出现监测范围的局限。HIDS系统则可以检测多种网络环境下的网络包。NIDS系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。而这方面正是HIDS的强项。NIDS系统中的传感器协同工作能力较弱，同时系统处理加密的会话过程较困难，而对于HIDS则没有这一障碍。另一方面，由于HIDS系统在反应的时间上依赖于定期检测的时间间隔，反应较慢，而且其检测实时性也没有基于网络的IDS系统好。