入侵檢測系統在國內已經出現一段時間了,作為大多數技術人員來說,介紹ids的資料還是很少,面對眾多公司的產品不知如何選擇。本文從使用的角度介紹選擇ids的幾個關鍵點,大家可以對這幾個角度看ids的產品。這些地方做的好的產品會很實用。當然這不是一個產品好壞的全部。好的產品還會帶很多附屬功能讓用戶好用。但是如果基本的功能做的不好的話,這個產品應該不是入侵檢測系統,不在我們討論範圍之內。本文局限在討論網路入侵檢測系統。
基本介紹
- 中文名:入侵檢測系統I
- 英文簡稱:ids
- 入侵方式:讓ids漏報和讓ids誤報
- 套用範圍:網路入侵
ids,
ids
以下描述中用ids代替。一、檢測入侵二、遠程管理三、抗欺騙能力四、自身安全性一、檢測入侵ids最主要的功能當然是檢測入侵。如何智慧型的報告出入侵者的動作就成了檢驗ids功能的首要條件。用戶安裝上ids後預設情況下,ids就應該對經典的對各個服務的攻擊作出告警。比如一些遠程溢出攻擊,那些都是成功後就完全控制機器的攻擊。對一個ids產品可以先試試這個,如果ids產品沒有反應,那么附加功能再多,我們也不能說這是一個有用的ids。二、遠程管理網路ids的機制是監視網路上的流量,這樣決定了如果所要監視的網路不止一個hub或交換機的話就要在每個hub或交換機上面安裝網路引擎。這樣我們就需要一個控制台和日誌分析程式來管理和分析多個網路引擎及它們產生的告警。坐在辦公室中實時查看和管理機房裡的入侵檢測系統,用戶有權要求這樣的功能。不過要注意把這個功能和ids的另一個功能區分開,ids還會提供各種各樣的告警方式,打電話呀,發郵件呀什麼的,這樣用戶也可以遠程得到告警。不過這個交流是單向的,用戶只能被動的得到信息,而不能主動的控制遠程的網路引擎。
三、抗欺騙能力ids要抓住入侵者,入侵者就會想方設法逃避ids。逃避ids的方法很多。總結起來可以分成兩大類:讓ids漏報和讓ids誤報。
