WEB开发网
开发学院网络安全安全技术 IDS入侵检测在企业应用中的四种难题 阅读

IDS入侵检测在企业应用中的四种难题

 2008-09-03 13:20:35 来源:WEB开发网   
核心提示: IDS应用难点之二IDS的检测速度,是影响NIDS的技术难题,IDS入侵检测在企业应用中的四种难题(2),为了实时对网络进行入侵侦测,每个基于NIDS的吞吐量是一定的,由于HIDS系统在反应的时间上依赖于定期检测的时间间隔,反应较慢,普通的IDS产品或许可以应付一般规模的企业检测要求,但对

IDS应用难点之二

IDS的检测速度,是影响NIDS的技术难题。为了实时对网络进行入侵侦测,每个基于NIDS的吞吐量是一定的,普通的IDS产品或许可以应付一般规模的企业检测要求,但对于电信级大型企业则有困难。这方面,赛门铁克建议,如果企业财力允许,可以考虑在网络内同时安装几套IDS,各自分别负责检测一部分,这样就可以解决检测速度吞吐量不够的问题。另外,可以考虑在覆盖企业网络终端的防病毒工具上做足文章。防病毒工具中集成一些IDS的功能,让IDS在网络内的每台PC上实现,以此来解决检测速度的问题。目前赛门铁克正在做这方面的工作。

东软的NetEye IDS提高检测速度的方法是,在操作系统的内核级别进行数据重组,对收取数据的驱动进行大量的优化,减少了系统内核到用户空间的数据拷贝,提高了系统的性能。NetEye IDS是软硬一体的系统结构,选取高性能的专用硬件,并通过大量测试,保证了硬件性能的最优化,通过选择专用的数据库,进行高效的索引,不但减轻了用户的管理负担,更极大地提高了存储效率。

上海金诺在解决检测速度问题上,首先是将系统的硬件平台进行优化,使硬件性能达到最佳,然后是利用一些先进的技术,如高性能的网络数据包处理技术(包括金诺网安独有的零拷贝技术、零系统调用技术等)、高性能协议分析技术(包括基于协议状态的检测技术)和基于预分析的检测技术等。

IDS应用难点之三

HIDS和NIDS,哪一个更好?

赛门铁克认为,NIDS只检查它直接连接网段的通信,不能检测在不同网段的网络包,在使用交换以太网的环境中就会出现监测范围的局限。HIDS系统则可以检测多种网络环境下的网络包。NIDS系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。而这方面正是HIDS的强项。NIDS系统中的传感器协同工作能力较弱,同时系统处理加密的会话过程较困难,而对于HIDS则没有这一障碍。另一方面,由于HIDS系统在反应的时间上依赖于定期检测的时间间隔,反应较慢,而且其检测实时性也没有基于网络的IDS系统好。

Tags:IDS 入侵检测 企业

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接