绿盟科技网络入侵检测系统解决方案

一 前言

    随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。众多的企业、组织与政府部门都在组建和发展自己的网络，并连接到I nternet上，以充分共享、利用网络的信息和资源。计算机网络在经济和生活的各个领域正在迅速普及，其地位越来越重要，整个社会对网络的依赖程度越来越大。
    伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出。现在，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见，网络资源滥用（包括P2P下载、IM即时通讯、网络游戏、在线视频等行为），黑客攻击行为几乎每时每刻都在发生，所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。
    能否及时发现网络黑客的入侵、有效的检测出网络中的异常行为，成为所有网络用户面临的一个重要问题。

二 为什么需要入侵检测系统

    随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：
    ·公司的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的；
    ·客户抱怨公司的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击；
    ·公司机密资料被窃，给公司造成巨大的损失，但是检查不出是谁干的；
    ·公司网络瘫痪，检查出遭受蠕虫病毒攻击，但是不知道如何清除和避免再次遭到攻击；
    ·公司网络被入侵了，安全事件调查中缺乏证据。
    根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的安全风险。如何及时的、准确的发现违反安全策略的事件，并及时处理，是广大用户迫切需要解决的问题。

2.1 防火墙的局限
    众多的企业、组织与政府部门都在组建和发展自己的网络，为了保证网络资源的安全，企业一般采用防火墙作为安全保障体系的第一道防线，通过访问控制，防御黑客攻击，提供静态防护。
    但是随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。
    传统的防火墙主要有以下的不足：
    .. 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的注入攻击等。
    .. 防火墙无法发现内部网络中的攻击行为。
    由于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还有进一步完善的需要。

2.2 入侵检测系统的特点
    入侵检测系统（Intrusion Detection System）是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。
    入侵检测系统主要有以下特点：
    .. 事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；
    .. 事中防护：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防护；
    .. 事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。
    综上所述，防火墙提供静态防护，而入侵检测系统提供动态防护，因此防火墙和入侵检测系统的结合，能够给网络带来全面的防护。对防火墙和入侵检测系统的关系有一个经典的比喻：防火墙相当于门卫，对于所有进出大门的人员进行检查，入侵检测系统相当于闭路监控系统，监控关键位置如财务、库房等地的安全状况，仅有门卫是无法发现内部人员的非法行为，而闭路监控系统可以实时监控，发现异常情况及时报警。两者的配合使用才能保证安全。

三 如何评价入侵检测系统

    入侵检测系统具有实时检测、报警和动态响应等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是入侵检测系统的基本标准。
    入侵检测系统(IDS）应该从四个方面评价：
    .. 准确的、广泛的入侵检测能力；
    .. 优异的产品性能；
    .. 强大的管理能力；
    .. 良好的自身安全性。
    一个完善的入侵检测系统（IDS）应该具有以下特点：
    .. 实时报警，报警的准确率高，误报和漏报率低；
    .. 不同性能的产品，能够满足不同网络的需求；
    .. 操作简单，易于部署、管理；
    .. 自身的安全性高，不易遭受攻击。