|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
入侵检测系统的优点和缺点深入分析
|
日期:2008年5月29日 作者: 查看:[大字体
中字体 小字体]
|
Gartner一直不看好入侵检测系统(IDS),在多份报告中对IDS提出非议。在一份题为“入侵检测将死,入侵防御万岁”的报告中,Gartner指出入侵防御要替代入侵检测;而在另一份题为“2003年:信息安全的炒作周期”的报告中,Gartner称入侵检测系统是一次市场失败。受Gartner报告的影响,IDS倍受攻击,IDS果真如Garnter所说的那样毫无价值吗?
也有人认为,Gartner的分析是建立种种误解之上的,其原因在于不懂得IDS擅长干什么以及谁应当使用IDS。Gartner分析师将IDS与防火墙归为一类产品。其实,情况并不是这样。对于网管员来说,IDS就像是一台协议分析器,一种观察网络、了解网络状况的工具。将IDS与防火墙混为一谈,或者将IDS与入侵预防系统(IPS)混为一谈,就像是把交换机与协议分析器归为一类同样不合适。
IPS厂商开辟市场所做的种种努力,进一步加深了人们对IDS的误解,让期待解决安全问题而购买IDS的网管员感到失望,因为IDS完成不了入侵保护任务。
与其谈IDS不能干什么,倒不如谈谈IDS能干些什么。在设计原理上,IDS是一种检测攻击、违反策略行为和错误配置的传感器。正如一位老资格的IDS研究员Gary Golomb指出的那样,IDS用于检查和平衡企业网络的安全状态。部署IDS只有一个目的,就是监视网络上所发生的一切,查看是否有人进出网络。有一件事情让多数用户倍感意外:尽管安装了各种防御技术(如防火墙、防病毒产品和VPN),攻击者和病毒仍然能够利用网络设计中的漏洞、应用漏洞以及配置错误的设备,闯进用户网络。
一些厂商在推销IDS时说,IDS不仅能检测入侵事件,而且还能检测违反策略的事件,如过短的口令、FTP传送的文件以及两个不应当通信的系统之间传送的数据流,这有点言过其实。IDS最适合的工作是部署在安全分析员可以管理它的环境中,分析“谁进入了系统”这样的问题。IDS厂商希望每个用户都能了解IDS,这是一种不切实际的期望。网络IDS就像是一种高级协议分析器,尽管大中型用户都需要它,但并不意味着每个人都必须学会使用它。在降低IDS的误报率和提高产品易用性方面,IDS厂商正在做着各种努力。
决定IDS是否适合用户需要并不难。成功的IDS部署取决于三个关键因素:安全策略、网络环境以及IDS架构。
安全策略:除非用户规定IDS允许做什么、不允许做什么,否则IDS不可能检测出可疑行为。如果用户没有事先规定安全策略,IDS更不可能报告违反安全策略的行为。
网络环境:在自动对攻击进行分类方面,IDS表现不佳。为了让IDS数据有用,用户必须了解网络上有什么资产以及什么是正常和正确的数据流。
IDS架构:IDS在企业网络中的位置和应用是一门变化多端的艺术。为了让IDS发挥作用,用户必须以能够返回有用信息的方式部署IDS。这意味着用户必须根据对安全策略和网络资产的了解,设计传感器的位置。就像不能将路由器、防火墙和VPN随意安装在网络中一样,IDS也不能随意部署在网络中。 (出处:清风网络学院)
上一篇:Native API NtSystemDebugControl的分析
下一篇:从零开始学黑客:网络黑客新手入门指南
|
| 相关文章: |
|
|
|
| 相关软件: |
|
|
|
|
