IDS入侵检测在企业应用中的四种难题
2008-09-03 13:20:35 来源:WEB开发网鉴于此,赛门铁克建议,在实施NIDS系统的同时,在特定的敏感主机上增加代理是一个比较完善的策略。因为,HIDS与NIDS并行可以做到优势互补。网络部分提供早期警告,而基于主机的部分可提供攻击成功与否的情况分析与确认。
尽管HIDS准确度较高,但缺点是不同的系统需要不同的引擎。系统的升级时,需要升级引擎,安装和维护不方便,同时无法发现网络上的攻击事件。而基于网络的IDS安装调试简单,不需在系统上安装任何软件,需要的引擎数少,可最早发现网络上的攻击,隐蔽性也更好。NIDS的缺点是准确度较低,同时随着网络流量的增大,处理峰值流量的难度加大。
目前,市场上基于HIDS的产品较少,仅有赛门铁克的Intruder Alert。NIDS产品有许多,像东软、瑞星、东方龙马等公司都提供NIDS产品。此外,有些公司还推出了将HIDS和NIDS融合在一起的产品。目前金诺网安具有拥有自主知识产权的入侵检测系统——KIDS,它是一种综合的网络入侵检测系统,分别可以保护重要网段和关键的主机,真正可以为企业单位提供一种有效的安全防护系统。?
IDS应用难点之四
如何选择一个理想的IDS?
谈到网络安全,人们首先想到的就是防病毒和防火墙。因为它门可以保护处于防火墙身后的网络不受外界的侵袭和干扰。
目前,IDS的普及率明显不如防病毒、防火墙产品的应用比例高。
信息安全厂商首先要从观念上教育我们的用户,针对网络威胁的增加,及时地提供实时主动防护产品IDS;另一方面,利用厂商的技术与产品优势不断满足用户的关键需求。
如何选择合适的IDS产品?用户除了考虑误报率与检测速度这两个重要的参考指标之外,还需要用户从HIDS和NIDS各自的优缺点作互补性考虑后,才能做出妥当的选择,并且用户要提高在安全服务委托外包上的认识水平。用户可以通过考虑以下要素,来选择一个理想的IDS。
1. 攻击检测的规则库的大小和检测的准确程度;
2. 是否有内容恢复功能;
3. 是否有完整网络审计、网络事件记录和全面的网络信息收集功能;
4. 产品的性能如何;
5. 是否集成网络分析和管理的辅助工具,如扫描器、嗅探器等;
6. 是否自带数据库,不需第三方数据源,数据是否可自动维护;
7. 管理维护是否足够简洁;
8. 互操作性如何,是否可和防火墙联动;
9. 自身安全性和隐蔽性如何;
10. 可升级性如何。
在用户决定购买IDS之前,建议用户应充分了解当前网络的拓扑结构,了解以下关键问题:
1. 目前使用的交换机是否支持监听,支持的程度是怎样的?
2. 用IDS产品,主要想保护的资源是什么?主要防范外网黑客攻击还是内网恶意用户?
3. IDS产生的事件记录是否有管理员查看和处理检测到的攻击和异常事件?
为了提高IDS的响应能力,目前国外比较成熟的做法是,用户将这项工作委托给其它专业的安全服务商。在国内还有一个对外包服务商的信任认知过程,而且要确保有一个与外界网络联系的实时畅通的渠道。因此,安全服务委托外包的方式,在国内还需时日。
怎样判断检测速度?
更多精彩
赞助商链接