网络安全主动防护的必备手段——入侵检测

网络安全主动防护的必备手段——入侵检测

入侵检测（IDS）作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防备的角度动身，对防范网络恶意攻击及误操作提供了主动的实时爱护，它可在网络系统受到危害之前拦截和响应入侵。针为IDS产品，上期我们介绍了基于主机的IDS技术，本期我们将要紧介绍基于网络的IDS技术。

基于网络的IDS系统使用原始的网络包作为信息源。它可利用工作在混合杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。基于网络的IDS产品一样被放置在比较重要的网段内，以便对每一个数据包或可疑的数据包进行特点分析。部分产品也能够利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到，响应模块按照配置对攻击做出反应。通常这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。

在检测入侵的特点库方面，基于网络的IDS产品有基于内置静态特点库与基于动态特点库的IDS两种，基于内置静态特点库的IDS不能实时扩展新的攻击特点，因此随着攻击特点的增加，IDS的性能会大大降低。相对而言，基于动态特点库的IDS攻击特点可扩展，新的攻击特点能够被动态地增加到引擎中，而且它的每一个被监测的网络服务器里都有一组基于OS和基于应用的攻击特点，这使得基于动态特点库IDS的性能大大提高。

网络安全专家赛门铁克推出的NetProwler是一个基于网络的动态入侵检测系统，它提供了动态、实时、透亮的网络IDS，能记录日志，同时可中断内部不满者和外部黑客的非授权使用、误用和滥用。专门在动态扩展攻击特点库方面，NetProwler可使用SDSI虚拟处理器能够赶忙展开自定义攻击信号，中断严峻的恶意攻击。总体上讲，能够关心企业幸免内部、远程、乃至授权用户所进行的网络探测、系统误用及其它恶意行为。作为一套

战略工具，它还可关心安全治理员制定杜绝以后攻击的可靠应对措施。

基于网络IDS系统只检查它直截了当连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会显现监测范畴的局限。通过基于主机的IDS系统，则能够检测多种网络环境下的网络包，从而幸免安装多台网络IDS系统的传感器，使布署整个系统的成本大大增加；网络IDS系统为了性能目标通常采纳特点检测的方法，它能够检测出一般的一些攻击，而专门难实现一些复杂的需要大量运算与分析时刻的攻击检测。而这方面正是基于主机IDS的强项；网络IDS系统中的传感器协同工作能力较弱，阻碍了系统的性能，同时系统处理加密的会话过程较困难，而关于基于主机的IDS则没有这一障碍。另一方面，由于基于主机的IDS系统在反应的时刻上依靠于定期检测的时刻间隔，反应较慢，而且其检测实时性也没有基于网络的IDS系统好。鉴于此，网络安全专家赛门铁克建议，在实施基于网络的IDS系统同时仍旧在特定的敏锐主机上增加代理是一个比较完善的策略。因为，基于主机的IDS与基于网络的IDS并行能够做到优势互补：网络部分提供早期警告，而基于主机的部分可提供攻击成功与否的情形分析与确认。因此假如企业将赛门铁克的NetProwler与Intruder Alert配合使用，能够达到更佳成效。