某海关，一日内网发生黑客攻击事件，IDS（入侵检测系统）发出警报，现场工程师发现根本就没有办法通过入侵检测系统上记录的MAC地址、IP地址等信息来实现网络查找。他们只能一根一根拔网线，每拔一根就用网络检测仪扫描一遍整个网络。最后劳累了将近一个小时，黑客消失，攻击点没有定位。维护人员只有忐忑不安的等待下一次攻击的到来。

    某市电子政务网发生黑客攻击，IDS没有报警，显然这次是使用了ARP欺骗的内部黑客行为，信息中心维护人员查找了6个小时才查到问题根源，而该网络仅仅只有180个信息点！！

    著名评估机构Gartner认为，IDS对网络安全几乎没有意义。传统的IDS系统产生过多的误报，且不能检查出未知的威胁。它在高速环境中容易受到威胁，在连续模式匹配方案中也有困难。为此，Gartner建议用户放弃IDS，转而把资金投向防火墙等更好的策略。

    IDS是否真的没有存在的必要呢？显不其然，如果把防火墙比作大门的话，那么IDS设备就如同监控系统。显然，无论大门如何坚固，我们都不能拆除内部监控系统。

    那么面对IDS的不足，我们该如何应对呢？

    换个角度去思考这个问题，可以看到，各种相关网络安全的黑客和病毒都是依赖网络平台进行，而如果在网络平台上就能切断黑客和病毒的传播途径，那么就能更好地保证安全，网络设备与IDS设备联动思想就应此而产生。

    首先，分析一下IDS对于内网安全事件防范到底存在那些隐患。

    误报漏报率太高 IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测。而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。而在协议分析的检测方式中，一般的IDS只简单的处理了常用的如HTTP、FTP、SMTP等，其余大量的协议报文完全可能造成IDS漏报，如果考虑支持尽量多的协议类型分析，成本将是用户无法承受的。再比如在异常检测中，各种协议变体、过多的IP分片和异常TCP分段都有可能导致IDS误报。

    没有主动防御能力。IDS技术是一种预设置式的工作方式，特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新，所以这永远是亡羊补牢，被动防守。

    缺乏准确定位和处理机制。IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。缺乏更有效的响应处理机制。

    性能普遍不足。现在市场上的IDS产品大多采用的是特征检测技术，这类产品是专门为小于100M的共享式网络环境设计的。现在，这种IDS产品已经不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包，形成DoS攻击。

    面对诸多问题，难怪有人戏称：IDS系统是网络中最大的安全隐患。为了弥补这些缺陷，IDS与新一代智能化的网络交换设备联动成为非常好的选择。

    IDS与网络交换设备联动是指，交换机在运行的过程中，将各种数据流的信息上报给安全设备，IDS系统可根据上报信息和数据流内容进行检测，并发现网络安全事件的时候，进行有针对性的动作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确端口的关闭和断开。

    这种智能交换机主要特点应该是能支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能，同时具备线速交换、稳定商用等特性。港湾网络推出的FlexHammer5010、u3550系列设备正是完全具备这些功能特性的新一代智能交换机，这些设备已经在各行业大规模商用。

    FlexHammer5010等设备和IDS联动，与传统的IDS技术相比，实现了四点革命性的突破。

    降低IDS误报漏报率：过高的误报漏报使IDS成为“网络中最大的安全隐患”，其本质原因在于它各种检测机制过于简单。

    1. FlexHammer5010具有限制每个端口TCP/IP连接数目的功能，通过这个功能可以在交换机上设置阀值，在IDS系统的前沿设置一道硬件屏障，降低IDS在异常检测中由于阀值设置不当而带来的误报漏报。

    2. FlexHammer5010能主动丢弃超过极限值的非正常IP分片和异常TCP分段，降低IDS的误报率。

    3. FlexHammer5010具备强制流分类的处理能力，可以根据协议类型、业务端口号进行流分类，通过与IDS的配合，完善IDS在协议分析方面的能力，因为在交换机上增加协议分析功能相对在IDS上增加类似功能成本要低很多，因此该功能的提供降低了用户在安全设备方面的投资。

    主动防御：传统IDS系统亡羊补牢式的手段虽然有效，但是毕竟已经失羊在先，这对于安全要求很高的政府、公检法等行业网络是不能接受的。其被动防守的根源在于没有有效手段得到接入层每个端口的数据特征，无法监控全网。

    FlexHammer5010可主动上报各种数据特征和流量特征给IDS设备，IDS设备就可以依据这些数据记录全网的正常流量特征，通过一段时间学习，IDS可以掌握每个端口正常数据流特征。以后当数据流进入网络时，可将正常的网络数据流特征与每个端口的数据流特征进行比较检测，非正常数据流都不能给予通过，达到主动防御的效果。而这种正常数据流的特征是相对固定和少量的，不必做频繁的升级和特征更新，保证了网络安全的特征。

    准确事件定位和响应功能：传统IDS系统发现故障却无法准确定位和有效处理，这对于网络维护人员来说简直是噩梦。

    1.FlexHammer5010具备多重网络标识的绑定和端口反查功能，防止网络欺骗行为，因此可帮助IDS系统对攻击点进行准确定位。

    2. 港湾3550接入层交换机上可对任何IDS设备开放网络管理方面的指令，每一个接入层的3550交换机都可听从入侵检测系统的关闭端口等指令，检测到安全事件的时候，入侵检测系统就可直接封堵或关闭某个PC入网的端口，有的放矢，而不会影响其他的正常用户使用网络。这功能简直就是革命性的突破。

    优化IDS性能：当IDS的性能成为网络安全中最短的那块木板时，不可能通过不断增大内存和CPU性能来解决问题，因为那样的投入将会是惊人的无休无止，值得考虑的解决方案应该是采用分布式、专业化的IDS。

    FlexHammer5010通过启用强制流分类可以有选择性的屏蔽下层数据，净化发送到IDS的数据报文，比如某网络中只关心WWW数据的安全，那么可以选择采购更便宜更专业的IDS系统，只做WWW数据的检测，那么FlexHammer5010此时就发挥数据净化器的作用，保证一个低成本的IDS系统能准确无误的完成专业数据的检测工作。这在降低整网组网成本的同时，大大优化了网络中原有IDS的性能。

    港湾网络智能交换设备已经与多家IDS系统进行了互通测试，并在海关、电子政务等网络中开始实际应用，得到用户高度好评。

    IDS作为网络安全系统必不可少的一部分，应用领域在迅速扩大，技术走向也日益明朗，从IDS（入侵检测）向IPS（入侵防御）发展成为必然，但目前并没有完善的IPS解决方案和设备，而且可以预见IPS的使用将大幅度提高网络建设的成本。因此，港湾网络认为，在IDS向IPS发展历程中，通过智能交换机对IDS的补充，是一个非常实际而且不会给用户带来任何额外投资的理想过渡方案。

    随着未来一段时间IDS的广泛使用，港湾的交换机与IDS联动技术将为更多政府部门、大企业的网络服务。