IDS入侵检测在企业应用中的四种难题

鉴于此，赛门铁克建议，在实施NIDS系统的同时，在特定的敏感主机上增加代理是一个比较完善的策略。因为，HIDS与NIDS并行可以做到优势互补。网络部分提供早期警告，而基于主机的部分可提供攻击成功与否的情况分析与确认。

尽管HIDS准确度较高，但缺点是不同的系统需要不同的引擎。系统的升级时，需要升级引擎，安装和维护不方便，同时无法发现网络上的攻击事件。而基于网络的IDS安装调试简单，不需在系统上安装任何软件，需要的引擎数少，可最早发现网络上的攻击，隐蔽性也更好。NIDS的缺点是准确度较低，同时随着网络流量的增大，处理峰值流量的难度加大。

目前，市场上基于HIDS的产品较少，仅有赛门铁克的Intruder Alert。NIDS产品有许多，像东软、瑞星、东方龙马等公司都提供NIDS产品。此外，有些公司还推出了将HIDS和NIDS融合在一起的产品。目前金诺网安具有拥有自主知识产权的入侵检测系统——KIDS，它是一种综合的网络入侵检测系统，分别可以保护重要网段和关键的主机，真正可以为企业单位提供一种有效的安全防护系统。?

IDS应用难点之四

如何选择一个理想的IDS？

谈到网络安全，人们首先想到的就是防病毒和防火墙。因为它门可以保护处于防火墙身后的网络不受外界的侵袭和干扰。

目前，IDS的普及率明显不如防病毒、防火墙产品的应用比例高。

信息安全厂商首先要从观念上教育我们的用户，针对网络威胁的增加，及时地提供实时主动防护产品IDS；另一方面，利用厂商的技术与产品优势不断满足用户的关键需求。

如何选择合适的IDS产品？用户除了考虑误报率与检测速度这两个重要的参考指标之外，还需要用户从HIDS和NIDS各自的优缺点作互补性考虑后，才能做出妥当的选择，并且用户要提高在安全服务委托外包上的认识水平。用户可以通过考虑以下要素，来选择一个理想的IDS。

1. 攻击检测的规则库的大小和检测的准确程度；

2. 是否有内容恢复功能；

3. 是否有完整网络审计、网络事件记录和全面的网络信息收集功能；

4. 产品的性能如何；

5. 是否集成网络分析和管理的辅助工具，如扫描器、嗅探器等；

6. 是否自带数据库，不需第三方数据源，数据是否可自动维护；

7. 管理维护是否足够简洁；

8. 互操作性如何，是否可和防火墙联动；

9. 自身安全性和隐蔽性如何；

10. 可升级性如何。

在用户决定购买IDS之前，建议用户应充分了解当前网络的拓扑结构，了解以下关键问题：

1. 目前使用的交换机是否支持监听，支持的程度是怎样的？

2. 用IDS产品，主要想保护的资源是什么？主要防范外网黑客攻击还是内网恶意用户？

3. IDS产生的事件记录是否有管理员查看和处理检测到的攻击和异常事件？

为了提高IDS的响应能力，目前国外比较成熟的做法是，用户将这项工作委托给其它专业的安全服务商。在国内还有一个对外包服务商的信任认知过程，而且要确保有一个与外界网络联系的实时畅通的渠道。因此，安全服务委托外包的方式，在国内还需时日。

怎样判断检测速度？