【IT168 导购】说到网络安全，很多人第一个想到的大多是防火墙，然而网络安全是否真的就局限于此或则说单单一个防火墙就能胜任了呢？其实随着技术的发展，网络日趋复杂，将黑客包容在内部网已是不辩的事实，这样，一致对外的防火墙所暴露出来的不足和弱点便越发明显，不但外网入侵者可以找到防火墙的后门，而且防火墙对来自内部的袭击形同虚设，更不要说其对病毒的无可奈何了。因此说以为在Internet入口处部署了防火墙的系统就足够安全的想法是不切实际的。
#$[*111918.jpg*#IDS应用示意图（点击看大图）*#0*#0*#center*]$#
    被动防御不如主动出击。IDS—入侵检测系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。IDS作为防火墙的合理补充，可以弥补防火墙的不足，入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，可以防止或减轻网络威胁。

    主要功能

    入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。除了防火墙和杀毒系统，入侵检测技术已经成为抵御黑客攻击的有效方式。成为网络安全的第三股热潮。IDS主要用来监视和分析用户及系统的活动，可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式，IDS以报表的形式进行统计分析。

    IDS主要完成任务有：

    1．监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。
    2．检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。
    3．对用户的非正常活动进行统计分析，发现入侵行为的规律。
    4．检查系统程序和数据的一致性与正确性。

    一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供依据。它应该管理配置简单，使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。
 
    购买常识

    目前市场上的IDS产品按其输入数据的来源基本可分为两大类：基于网络的产品NIDS和基于主机的产品HIDS。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外，文件的完整性检查工具也可看做是一类入侵检测产品。基于网络的入侵检测产品放置在比较重要的网段内，对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler，以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。

    基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。

    混合式入侵检测系统综合了基于网络和主机的两种结构特点，既可发现网络中的攻击信息，也可从系统日志中发现异常情况，一般为分布式结构，由多个部件组成。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。

    用户决定购买IDS首先应充分了解自己的网络拓扑结构，交换机是否支持监听？用IDS产品，主要想保护的资源是什么？主要防范外网黑客攻击还是内网恶意用户？其次，选择合适的IDS产品除考虑误报率与检测速度这两个重要的参考指标之外，还应考虑以下要素：
    1. 攻击检测的规则库的大小和检测的准确程度；
    2. 是否有内容恢复功能；
    3. 是否有完整网络审计、网络事件记录和全面的网络信息收集功能；
    4. 产品的性能如何；
    5. 是否集成网络分析和管理的辅助工具，如扫描器、嗅探器等；
    6. 是否自带数据库，不需第三方数据源，数据是否可自动维护；
    7. 管理维护是否足够简洁；
    8. 互操作性如何，是否可和防火墙联动；
    9. 自身安全性和隐蔽性如何；
    10. 可升级性如何。

    精品推荐：

    Symantec Host IDS
#$[*111854.jpg*#Symantec Host IDS*#0*#0*#center*]$#
    Symantec Host IDS能够及时监控、检测入侵行为，并对安全漏洞提出响应。当与防火墙或其它存取控制产品相整合时，Symantec Host IDS能够帮助IT管理员制定入侵检测的规定及行为，以有效防止黑客入侵及带有恶意企图的未授权使用者进入系统。实时监视系统、检测破坏安全的行为和其他非授权的活动，并对此做出响应 。全新的进程管理功能与进程报告程序等多个入侵防护技术相结合，使企业能够迅速响应入侵行为，并制定明智的服务器安全策略来保护关键服务器 ，可以创建基于主机的定制的入侵检测策略和响应方式 ，集中的管理工具可以简化主机入侵检测安全策略的监视和实施 ，基于 Java 的策略编辑器，可以简化 Symantec Host IDS 传感器/代理策略的开发和部署 ，支持 Windows 2000、Windows NT 4.0、Windows XP 及 Sun Solaris 8 和 9 等多种平台，并能与赛门铁克的早期主机IDS系统Intruder Alert 3.6共存。

    为了减少误报率赛门铁克一是对IDS产品的应用范围（如作业平台）事先作一个分类。比如面向一个只有Windows平台的企业网络，则IDS包含的针对Unix平台攻击的检测特征功能就可以忽略，从而避免误报。二是从根源上解决问题，即通过互补产品来减少IDS的误报首先帮助企业查出漏洞所在，对易遭受攻击的弱点究根寻源，然后企业在堵住这些漏洞的前提下，应用IDS，其误报率会大大减少。

    尽管Symantec Host IDS准确度较高，但缺点是不同的系统需要不同的引擎。系统的升级时，需要升级引擎，安装和维护不方便。

    理工先河“金海豚”  
#$[*111856.jpg*#理工先河“金海豚”*#0*#0*#center*]$#
    “金海豚”网络动态防护系统是理工先河有限公司的安全产品，它由中心监控平台和具有代理功能的分布式信息检测装置组成，采用客户/服务器系统架构，产品基于主机环境，能对网络系统中的非授权使用及系统合法用户的滥用行为进行实时检测、识别、预警与控制，检测网络中的各种恶意攻击。该产品实现了内部防护、主动防护和动态防护，并具有实时检测分析、实时响应以及管理与配置功能。

    金诺网安入侵检测系统KIDS3.3
#$[*111857.jpg*#金诺网安入侵检测系统KIDS3.3*#0*#0*#center*]$#
    金诺网安入侵检测系统KIDS能够自动识别各种入侵，检查系统漏洞和后门，对网络和系统的安全状况进行监控，不仅能够对付来自外部公共信息网络的入侵，而且能够监控内部用户的未授权活动和合法用户的误操作及资源滥用。

    采用SafeBoot技术是KIDS3.3产品的最大特色，SafeBoot?技术主要利用了可引导光盘（Bootable CD）和SafeBlock? USB配置盘两种存储介质，使得产品“即插即用”， 提高了可靠性和安全性。KIDS3.3支持VLAN（802.1q），加强了SMTP/POP3协议的分析能力。与3.2版本相比，KIDS3.3的检测性能提高许多，具有更好的可维护性，并具有数据库自动溢出处理和后台自动记录数据等功能。KIDS采用安全策略优化、事件合并、事件关联和多种检测技术相结合等方法，来解决误报率问题。金诺网安KIDS采用了金诺公司新一代智能的检测技术，以基于包特征的检测技术为主体，充分结合协议状态分析、流量异常检测等技术，在保证检测到已知的最新攻击行为的前提下，及时发现一些未知的非法入侵行为，从而确保检测的准确性和广泛性。另外，KIDS也利用了TCP流重组和IP碎片重组等常见的技术，这些技术都可以有效降低系统的误报和漏报。

    解决检测速度问题上，KIDS3.3首先是将系统的硬件平台进行优化，使硬件性能达到非常好的，然后是利用一些先进的技术，如高性能的网络数据包处理技术（包括金诺网安独有的零拷贝技术、零系统调用技术等）、高性能协议分析技术（包括基于协议状态的检测技术）和基于预分析的检测技术等。
 
    KIDS可以为用户提供每周一次的规则升级，并且在网上即时进行公布，用户完全可以利用控制台进行在线的自动升级，或者下载到本地后再通过手动进行升级，所以KIDS始终能检测到最新的入侵攻击行为，可以实时确保网络的安全。

    清华得实NetDT(r)2000

    NetDT(r)2000网络入侵检测系统是北京清华得实网络安全技术有限公司的网络安全产品，该系统采用分布式入侵侦测系统构架、先进的反IDS欺骗技术、底层协议分析技术、智能规则技术、实时显示技术和网络数据监控技术，全面监视各个子网的通信情况，及时捕获入侵行为，并针对网络上的可疑入侵行为，做出策略反应、及时告警和日志记录等，最大限度地保障系统安全，是一套拥有完全自主版权、实用性强的安全产品，适用于政府、银行、证券、电子商务、数据中心等单位和部门。

    主要功能：入侵检测功能实时识别各种基于网络的攻击行为，能够识别黑客常用的入侵扫描攻击工具ISS Internet Scanner， Nessus，Nmap等； 根据定制的条件过滤重复警报事件，减轻传输与响应的压力，同时保证警报信息不被遗漏； 系统提供可视化的管理、监视、控制和分析操作界面，方便用户的使用；对入侵行为进行统计、分类和等级划分，提供客观的分析和防御基础； 定制实时响应策略、定制检测策略功能 等功能，具有网络引擎稳定、高效，分布式检测、集中式管理，数据库高度智能和易于扩展与升级等特点。

    东软NetEye IDS2.1
#$[*111858.jpg*#东软NetEye IDS2.1*#0*#0*#center*]$#
    NetEye IDS 2.1是东软软件股份有限公司开发的具有自主版权的软硬件一体化的网络入侵监测系统。利用数据包截取技术对网络进行不间断的监控，扩大网络防御的范围。采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进行报警、响应、防范。并可对网络的运行和使用情况进行监控、记录和重放，使用户对网络的运行状况一目了然。同时提供网络嗅探器和扫描器便于分析网络的问题，确定网络故障。NetEye可对自身的数据库进行自动维护，不需要用户的干预，不会对网络的正常运行造成任何干扰，全面地综合了网络审计、监测和分析功能，配合防火墙系统组成了完整的网络安全解决方案，全面保障网络的安全。

    NetEye IDS可以在理解网络协议的基础上，对网络数据进行重组，并提供应用协议的内容恢复功能，对网络上发生的应用进行恢复和重放，不但检测攻击事件，还重现攻击的过程。这样，它不仅可以发现外部攻击，还可以发现内部用户的恶意行为。通过内容恢复，管理员可以准确了解攻击是否发生，有效地减少了误报。

    东软的NetEye IDS提高检测速度的方法是在操作系统的内核级别进行数据重组，对收取数据的驱动进行大量的优化，减少了系统内核到用户空间的数据拷贝，提高了系统的性能。NetEye IDS是软硬一体的系统结构，选取高性能的专用硬件，并通过大量测试，保证了硬件性能的最优化，通过选择专用的数据库，进行高效的索引，不但减轻了用户的管理负担，更极大地提高了存储效率。

    安氏领信IDS
#$[*111859.jpg*#安氏领信IDS*#0*#0*#center*]$#
    安氏领信千兆IDS是安氏公司采用先进技术、自主开发的基于状态协议分析技术的专业级千兆入侵检测系统。在网络和主机层面，将基于攻击特征分析和协议分析的入侵检测技术完美结合，监控分析网络传输和系统事件，自动检测和响应可疑行为，使用户在系统受到危害之前截取并防范非法入侵和内部网络误用，最大程度降低安全风险，保护企业网络系统安全。

    它采用先进的三层体系结构，适用于建设高速的企业级分布式入侵检测系统，可以对千兆的网络流量进行实时监控和响应。先进的状态协议分析技术支持对所有已知攻击的检测以及对未知攻击的预防。

    中联绿盟“冰之眼”
#$[*111860.jpg*#中联绿盟“冰之眼”*#0*#0*#center*]$#
    中联绿盟信息技术(北京)有限公司自主研发的“冰之眼”网络入侵侦测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控，提供企业级的安全侦测手段。在事后分析的时候，可以清楚的界定责任人和责任事件，为网络管理人员提供强有力的保障。使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予侦测和响应， 在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为。“可侦测超过800种的攻击方法并不断升级，包括可以侦测对众多国内系统特有的漏洞的攻击最多能够同时与10个不同种类的防火墙进行通讯联动，将入侵者防御于被保护的网络之外。冰之眼”具有杰出的IP碎片重组能力，且同时具有基于特征和异常两种检测模式。全自动在线升级系统使得其能够和绿盟主站点保持规则库的同步更新，绿盟专家24小时不断跟踪最新的攻击手段，及时加入到规则库中。此外，企业内网探测模块能够检测所有的非法外连和内连，且提供多种入侵保护方式，并能与多种防火墙进行联动。
 
    方正方通网络狙击手Found Sniper
#$[*111861.jpg*#方正方通网络狙击手Found Sniper*#0*#0*#center*]$#
    FOUND Sniper是一个用于计算机网络上的强大的、自动的、实时入侵保护系统。致力于监控网络传输的数据流，自动检测和响应可疑的网络行为，使用户在网络和系统受到危害之前发现并阻止非法入侵，同时FOUND Sniper检测、报警、识别和阻止那些在实时环境下无法被防火墙发现的非法活动、内部网络滥用和内部信息泄漏。FOUND Sniper支持千兆接口，能够在750Mbps网络通信量情况下，进行无信息包丢失的入侵检测。可以同时监控8个物理网段，为用户提供最高性价比的入侵检测系统。入侵模式库中超过750种的攻击方法，支持定期在线升级。
 
    启明星辰天阗黑客入侵检测与预警系统
#$[*111862.jpg*#启明星辰天阗黑客入侵检测与预警系统*#0*#0*#center*]$#
    “天阗”黑客入侵检测与预警系统是启明星辰信息技术有限公司自行研制开发的入侵检测系统，是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品，同时天阗还通过了所有权威管理部门的测评和认证。

    “天阗”黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问题。其联机文档提供了丰富的事件说明及恢复措施，可以最大程度地为网络系统提供安全保障以先进的协议分析技术为核心，涵盖成熟的模式匹配技术，同时采用了下一代异常行为分析技术，适合于各种不同网络环境、可用于大规模分布式部署的入侵检测系统和全局性的网络安全管理、具备世界优秀的大规模监控响应能力。以天阗为核心，配以其它网络安全产品，可构成理想的深层防御体系。

    精品总结：

    从网络安全立体纵深、多层次防御的角度出发，入侵检测越来越得到了人们的重视。推荐的系统中Symantec Host IDS致力于主机的监控，是卓越的HIDS入侵检测系统，金诺网安的KIDS3.3不但性能强大，而且“即插即用”给使用带来了很大的便利！清华得实NetDT(r)2000入侵检测系统适用于大型网络，东软NetEye IDS集审计、监测、分析于一体，理工先河“金海豚”检测、识别、预警、控制于一身，安氏领信IDS采用了分布式监控，系统监控严密，启明星辰天阗黑客入侵检测与预警系统产品在NIDS与HIDS上都有出色的表现，方正方通网络狙击手Found Sniper强于实时监控数据流，中联绿盟“冰之眼”IDS自动在线升级随时把握入侵动态！