正如当前人们所看到的那样,越来越多的厂商宣传自己的产品拥有的安全功能,使用了许多缩写词,如IDS(入侵检测系统)、NBA(网络行为分析)、IPS(入侵防御系统)以及防火墙等许多其它功能。
但是人们完全困惑了,究竟这些不同名称下的网络及安全产品有什么实际功效,其间又有哪些区别呢?
为了更好地理解入侵检测系统与网络行为分析的区别, Plixer公司共同创始人和首席技术官Marc Bilodeau就下列八个问题以及其它一些问题给出了专业解释:
1.什么是入侵检测系统(IDS)?
入侵检测系统一般在互联网连接上探测数据包。入侵检测系统用于检测试图偷偷进入网络和破坏一个计算机系统的安全和信任的恶意行为。这些恶意行为包括对有安全漏洞的服务实施的网络攻击、对应用程序实施的数据驱动的攻击、升级权限、非授权登录和访问敏感文件等基于主机的攻击以及恶意软件(病毒、木马和蠕虫)。一旦进入网络,病毒或者感染在发动恶意攻击之前能够在网络上活动几个星期。
2.定期更新入侵检测系统的恶意软件特征是不是也不能保持威胁库处于最新状态?
是的。病毒特征更新是有帮助的。但是,由于黑客不断发展自己肮脏的技术以突破最新的安全防御,企业永远不是完全免疫的。我们可以把病毒特征更新比作人类为了避免病毒感染每年向身体注射浏览疫苗。然而,流感疫苗永远不能阻止所有的病毒。
3.什么是网络行为分析?
网络行为分析是识别日常网络通讯流量中异常通讯方式的能力。简单地说,这是网络行业超越简单地阻止过量的网络通讯设置试图识别网络中的异常行为。观察到的最多的网络安全突破之一是称作拒绝服务攻击的异常通讯方式。拒绝服务攻击是对互联网服务提供商和大型网络基础设施的重大安全威胁。
4.什么是入侵防御系统(IPS)?入侵防御系统与入侵检测系统和网络行为分析有什么区别?
入侵防御系统一般与入侵检测系统和网络行为分析系统一起工作。入侵防御系统能够丢弃攻击的数据包,同时允许其它通讯流量继续通过。这项工作能够在交换机上很好地完成。交换机也进行网络行为分析。
Bilodeau指出,思科和惠普分别支持NetFlow和sFlow。但是,他们在没有NetFlow和sFlow功能的交换机上实施网络行为分析。
责任编辑:小草
您现在的位置: 