入侵检测系统通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,它不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动,因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。这是一种集检测、记录、报警、响应的动态安全技术,它已经渐渐地从“入侵检测”发展为“入侵防御”了。
在入侵检测系统检测到网络中的攻击或未授权行为时,传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员,然后由管理员手工采取相应措施来阻止入侵。这无疑给安全管理增加了很多的工作量和难度,也大大地提高了安全维护费用,因此系统需要具有更多主动响应行为的入侵检测系统,如今的入侵检测系统可以通过发复位包的方式,或者执行一段用户编写的程序,自动切断危险的连接。
而且,入侵检测系统作为整体安全技术的一个组成部分,它还应该和其他安全组件协同工作、建立互动的响应机制。例如,防火墙作为限制内外网络互相访问的关口,其配置的过滤规则阻止了非授权用户对公司网络的访问,因此在入侵检测系统发现攻击行为时,由它自动地修改防火墙的安全策略,就能封堵可疑的网络通信。这也是为什么入侵检测系统和防火墙之间的联系越来越紧密的原因之一。
在入侵防御系统中,如何降低检测系统的误报率是非常关键的。在传统的入侵检测系统中,误报对安全管理员形成一种滋扰,大量的误报还可能淹没真正的攻击行为,使安全管理员无从响应。在建立联动的一体化安全防御体系中,入侵检测系统可以自动调整其他安全组件的策略,来防止进一步的攻击,这时误报带来的负面影响可能更大了——因为误报触动策略调整之后,本该许可的访问就无法访问了,这形成了一种新的DoS形式。
同时,先进的入侵防御系统还必须是一个全方位的安全管理。它一方面要集中管理全网以及各设备的安全事件,将数据进行标准化、集中、并进行关联和智能分析,以降低误报率和预告威胁的趋势;另一方面还要结合漏洞扫描,提前确定系统是否存在已知漏洞,做到“防范于未然”,以建立前摄性的、而不仅仅是响应式的安全防御体系。
上海广电应确信有限公司(www.svanetworks.com)作为专业的网络安全设备厂商,不断致力于网络安全技术的研究和产品开发,提供了一系列一流的网络安全设备,针对不同的用户需求,制定量身定做的安全方案和入侵防御机制,有效地保护组织免受外部和内部的攻击,能协助企业从容应对各种入侵和非授权行为。
责任编辑:小草
