网络安全主动防护的必备手段——入侵检测(基于网络篇)

网络安全主动防护的必备手段——入侵检测（基于网络篇）入侵检测（IDS）作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，它可在网

—— 网络安全主动防护的必备手段入侵检测（基于网络篇） IDS 入侵检测（）作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防 御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，它可在网络系统受到 IDSIDS 危害之前拦截和响应入侵。针为产品，上期我们介绍了基于主机的技术，本期我 IDS 们将主要介绍基于网络的技术。 IDS 基于网络的系统使用原始的网络包作为信息源。它可利用工作在混合杂模式下的 IDS 网卡实时监视和分析所有的通过共享式网络的传输。基于网络的产品一般被放置在比 较重要的网段内，以便对每一个数据包或可疑的数据包进行特征分析。部分产品也可以利用 交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到，响应模 块按照配置对攻击做出反应。通常这些反应通常包括发送电子邮件、寻呼、记录日志、切断 网络连接等。 IDS 在检测入侵的特征库方面，基于网络的产品有基于内置静态特征库与基于动态特 IDSIDS 征库的两种，基于内置静态特征库的不能实时扩展新的攻击特征，因此随着攻击 IDSIDS 特征的增加，的性能会大大降低。相对而言，基于动态特征库的攻击特征可扩展， 新的攻击特征可以被动态地增加到引擎中，而且它的每一个被监测的网络服务器里都有一组 OSIDS 基于和基于应用的攻击特征，这使得基于动态特征库的性能大大提高。 NetProwler 网络安全专家赛门铁克推出的是一个基于网络的动态入侵检测系统，它提 IDS 供了动态、实时、透明的网络，能记录日志，同时可中断内部不满者和外部黑客的非授 NetProwlerSDSI 权使用、误用和滥用。尤其在动态扩展攻击特征库方面，可使用虚拟处理 器能够立即展开自定义攻击信号，中断严重的恶意攻击。总体上讲，可以帮助企业避免内部、 远程、乃至授权用户所进行的网络探测、系统误用及其它恶意行为。作为一套战略工具，它 还可帮助安全管理员制定杜绝未来攻击的可靠应对措施。 IDS 基于网络系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。在 IDS 使用交换以太网的环境中就会出现监测范围的局限。通过基于主机的系统，则可以检 IDS 测多种网络环境下的网络包，从而避免安装多台网络系统的传感器，使布署整个系统 IDS 的成本大大增加；网络系统为了性能目标通常采用特征检测的方法，它可以检测出普 通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。而这方面正是 IDSIDS 基于主机的强项；网络系统中的传感器协同工作能力较弱，影响了系统的性能， IDS 同时系统处理加密的会话过程较困难，而对于基于主机的则没有这一障碍。另一方面， IDS 由于基于主机的系统在反应的时间上依赖于定期检测的时间间隔，反应较慢，而且其