WEB开发网
开发学院网络安全安全技术 IDS入侵检测在企业应用中的四种难题 阅读

IDS入侵检测在企业应用中的四种难题

 2008-09-03 13:20:35 来源:WEB开发网   
核心提示: 鉴于此,赛门铁克建议,IDS入侵检测在企业应用中的四种难题(3),在实施NIDS系统的同时,在特定的敏感主机上增加代理是一个比较完善的策略,因此,安全服务委托外包的方式,因为,HIDS与NIDS并行可以做到优势互补

鉴于此,赛门铁克建议,在实施NIDS系统的同时,在特定的敏感主机上增加代理是一个比较完善的策略。因为,HIDS与NIDS并行可以做到优势互补。网络部分提供早期警告,而基于主机的部分可提供攻击成功与否的情况分析与确认。

尽管HIDS准确度较高,但缺点是不同的系统需要不同的引擎。系统的升级时,需要升级引擎,安装和维护不方便,同时无法发现网络上的攻击事件。而基于网络的IDS安装调试简单,不需在系统上安装任何软件,需要的引擎数少,可最早发现网络上的攻击,隐蔽性也更好。NIDS的缺点是准确度较低,同时随着网络流量的增大,处理峰值流量的难度加大。

目前,市场上基于HIDS的产品较少,仅有赛门铁克的Intruder Alert。NIDS产品有许多,像东软、瑞星、东方龙马等公司都提供NIDS产品。此外,有些公司还推出了将HIDS和NIDS融合在一起的产品。目前金诺网安具有拥有自主知识产权的入侵检测系统——KIDS,它是一种综合的网络入侵检测系统,分别可以保护重要网段和关键的主机,真正可以为企业单位提供一种有效的安全防护系统。?

IDS应用难点之四

如何选择一个理想的IDS?

谈到网络安全,人们首先想到的就是防病毒和防火墙。因为它门可以保护处于防火墙身后的网络不受外界的侵袭和干扰。

目前,IDS的普及率明显不如防病毒、防火墙产品的应用比例高。

信息安全厂商首先要从观念上教育我们的用户,针对网络威胁的增加,及时地提供实时主动防护产品IDS;另一方面,利用厂商的技术与产品优势不断满足用户的关键需求。

如何选择合适的IDS产品?用户除了考虑误报率与检测速度这两个重要的参考指标之外,还需要用户从HIDS和NIDS各自的优缺点作互补性考虑后,才能做出妥当的选择,并且用户要提高在安全服务委托外包上的认识水平。用户可以通过考虑以下要素,来选择一个理想的IDS。

1. 攻击检测的规则库的大小和检测的准确程度;

2. 是否有内容恢复功能;

3. 是否有完整网络审计、网络事件记录和全面的网络信息收集功能;

4. 产品的性能如何;

5. 是否集成网络分析和管理的辅助工具,如扫描器、嗅探器等;

6. 是否自带数据库,不需第三方数据源,数据是否可自动维护;

7. 管理维护是否足够简洁;

8. 互操作性如何,是否可和防火墙联动;

9. 自身安全性和隐蔽性如何;

10. 可升级性如何。

在用户决定购买IDS之前,建议用户应充分了解当前网络的拓扑结构,了解以下关键问题:

1. 目前使用的交换机是否支持监听,支持的程度是怎样的?

2. 用IDS产品,主要想保护的资源是什么?主要防范外网黑客攻击还是内网恶意用户?

3. IDS产生的事件记录是否有管理员查看和处理检测到的攻击和异常事件?

为了提高IDS的响应能力,目前国外比较成熟的做法是,用户将这项工作委托给其它专业的安全服务商。在国内还有一个对外包服务商的信任认知过程,而且要确保有一个与外界网络联系的实时畅通的渠道。因此,安全服务委托外包的方式,在国内还需时日。

怎样判断检测速度?

上一页  1 2 3 

Tags:IDS 入侵检测 企业

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接