Gartner一直不看好入侵检测系统(IDS)，在多份报告中对IDS提出非议。在一份题为“入侵检测将死，入侵防御万岁”的报告中，Gartner指出入侵防御要替代入侵检测；而在另一份题为“2003年：信息安全的炒作周期”的报告中，Gartner称入侵检测系统是一次市场失败。受Gartner报告的影响，IDS倍受攻击，IDS果真如Garnter所说的那样毫无价值吗？
　　
　　也有人认为，Gartner的分析是建立种种误解之上的，其原因在于不懂得IDS擅长干什么以及谁应当使用IDS。Gartner分析师将IDS与防火墙归为一类产品。其实，情况并不是这样。对于网管员来说，IDS就像是一台协议分析器，一种观察网络、了解网络状况的工具。将IDS与防火墙混为一谈，或者将IDS与入侵预防系统(IPS)混为一谈，就像是把交换机与协议分析器归为一类同样不合适。
　　
　　IPS厂商开辟市场所做的种种努力，进一步加深了人们对IDS的误解，让期待解决安全问题而购买IDS的网管员感到失望，因为IDS完成不了入侵保护任务。
　　
　　与其谈IDS不能干什么，倒不如谈谈IDS能干些什么。在设计原理上，IDS是一种检测攻击、违反策略行为和错误配置的传感器。正如一位老资格的IDS研究员Gary Golomb指出的那样，IDS用于检查和平衡企业网络的安全状态。部署IDS只有一个目的，就是监视网络上所发生的一切，查看是否有人进出网络。有一件事情让多数用户倍感意外：尽管安装了各种防御技术(如防火墙、防病毒产品和VPN)，攻击者和病毒仍然能够利用网络设计中的漏洞、应用漏洞以及配置错误的设备，闯进用户网络。
　　
　　一些厂商在推销IDS时说，IDS不仅能检测入侵事件，而且还能检测违反策略的事件，如过短的口令、FTP传送的文件以及两个不应当通信的系统之间传送的数据流，这有点言过其实。IDS最适合的工作是部署在安全分析员可以管理它的环境中，分析“谁进入了系统”这样的问题。IDS厂商希望每个用户都能了解IDS，这是一种不切实际的期望。网络IDS就像是一种高级协议分析器，尽管大中型用户都需要它，但并不意味着每个人都必须学会使用它。在降低IDS的误报率和提高产品易用性方面，IDS厂商正在做着各种努力。
　　
　　决定IDS是否适合用户需要并不难。成功的IDS部署取决于三个关键因素：安全策略、网络环境以及IDS架构。
　　
　　安全策略：除非用户规定IDS允许做什么、不允许做什么，否则IDS不可能检测出可疑行为。如果用户没有事先规定安全策略，IDS更不可能报告违反安全策略的行为。
　　
　　网络环境：在自动对攻击进行分类方面，IDS表现不佳。为了让IDS数据有用，用户必须了解网络上有什么资产以及什么是正常和正确的数据流。
　　
　　IDS架构：IDS在企业网络中的位置和应用是一门变化多端的艺术。为了让IDS发挥作用，用户必须以能够返回有用信息的方式部署IDS。这意味着用户必须根据对安全策略和网络资产的了解，设计传感器的位置。就像不能将路由器、防火墙和VPN随意安装在网络中一样，IDS也不能随意部署在网络中。

文章转载地址：http://www.cnpaf.net/Class/hack/06101110492264054358.html