| 出版日期:2002-09-30 总期号:531 本年期号:36 |
|
 |
网络安全主动防护的利刃
入侵检测 孙红娜 当前的网络入侵检测(IDS)系统可以分为基于主机分析和基于网络数据包分析两种基本方式。简单地讲,前者是基于主机的IDS产品,主要对主机的网络实时连接以及系统审计日志进行智能分析和判断,在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告;后者在网络通信中寻找符合网络入侵模板的数据包,并立即作出相应反应。 
赛门铁克IDS系统 在基于主机方面,赛门铁克推出的Intruder Alert(ITA)入侵检测系统是基于规则、实时、集中管理的主机监测系统,它可以在网络边界和网络内部检查和响应来自外界的攻击和可疑行为。从功能上看,它可以探测出潜在的危险——包括审计日志外不正常的“印迹”,并且根据安全管理员设定的规则,还可以对这些“印迹”进行分类并作出相应的反击响应。从应用范围上看,ITA能够跨越整个企业,包括LAN、WAN、Intranet和Internet,这与其它同类只可应用于以太网的产品相比,无疑使企业有了更全面的安全选择。 NetProwler是赛门铁克推出的一个基于网络的动态入侵检测系统,它提供了动态、实时、透明的网络IDS,能记录日志,同时可中断内部不满者和外部黑客的非授权使用、误用和滥用。尤其在动态扩展攻击特征库方面,NetProwler可使用SDSI虚拟处理器立即展开自定义攻击信号,中断严重的恶意攻击。总体上讲,它可以帮助企业避免内部、远程乃至授权用户所进行的网络探测、系统误用及其它恶意行为。作为一套战略工具,它还可帮助安全管理员制定杜绝未来攻击的可靠应对措施。 基于网络的IDS系统只检查它直接连接网段的通信,不能检测在不同网段的网络包,因此在使用交换以太网的环境中就会出现监测范围的局限。而基于主机的IDS系统则可以检测多种网络环境下的网络包,从而避免要安装多台网络IDS系统的传感器,使布署整个系统的成本大大增加。网络IDS系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析的攻击检测,而这方面正是基于主机IDS的强项。另外,网络IDS系统中的传感器协同工作能力较弱,影响了系统的性能,同时系统处理加密的会话过程较困难,而对于基于主机的IDS则没有这一障碍。另一方面,由于基于主机的IDS系统在反应的时间上依赖于定期检测的时间间隔,反应较慢,而且其检测实时性也没有基于网络的IDS系统好。有鉴于此,赛门铁克建议,在实施基于网络的IDS系统同时仍然在特定的敏感主机上增加代理是一个比较完善的策略,因为基于主机的IDS与基于网络的IDS并行可以做到优势互补。 |
||||||||||||||||||||
