|
我们需要什么样的入侵检测系统?
入侵检测系统在国内已经出现一段时间了,作为大多数技术人员来说,介绍IDS的资料还是很少,面对众多公司的产品不知如何选择。本文从使用的角度介绍选择IDS的几个关键点,大家可以对这几个角度看IDS的产品。这些地方做的好的产品会很实用。当然这不是一个产品好坏的全部。好的产品还会带很多附属功能让用户好用。但是如果基本的功能做的不好的话,这个产品应该不是入侵检测系统,不在我们讨论范围之内。本文局限在讨论网络入侵检测系统。以下描述中用IDS代替。
一、检测入侵
二、远程管理
三、抗欺骗能力
四、自身安全性
一、检测入侵
IDS最主要的功能当然是检测入侵。如何智能的报告出入侵者的动作就成了检验IDS功能的首要条件。用户安装上IDS后缺省情况下,IDS就应该对经典的对各个服务的攻击作出告警。比如一些远程溢出攻击,那些都是成功后就完全控制机器的攻击。对一个IDS产品可以先试试这个,如果IDS产品没有反应,那么附加功能再多,我们也不能说这是一个有用的IDS。
二、远程管理
网络IDS的机制是监视网络上的流量,这样决定了如果所要监视的网络不止一个hub或交换机的话就要在每个hub或交换机上面安装网络引擎。这样我们就需要一个控制台和日志分析程序来管理和分析多个网络引擎及它们产生的告警。坐在办公室中实时查看和管理机房里的入侵检测系统,用户有权要求这样的功能。不过要注意把这个功能和IDS的另一个功能区分开,IDS还会提供各种各样的告警方式,打电话呀,发邮件呀什么的,这样用户也可以远程得到告警。不过这个交流是单向的,用户只能被动的得到信息,而不能主动的控制远程的网络引擎。
共4页: 上一页 1 [2] [3] [4] 下一页
|
