重新认识IDS,防止网络入侵
当今网络入侵频繁,使用防火墙、入侵检测系统和入侵检测系统是防范网络入侵的最佳途径。传统的状态检测防火墙作为防御的第一道防线,可以防止网络层攻击,但不能阻止蠕虫攻击其他应用程序。这些攻击利用了80和443等开放端口,入侵检测系统利用传感器和传感器被动地安装在网络上监视网络通信,发现任何恶意的接入标志,传感器可以检测攻击应用层,但不能阻止这些攻击。当网络管理员收到IDS的告警信息并采取相应措施时,往往为时已晚。
入侵检测系统的困扰
IDS将带来很多错误的警报。一些网友认为,IDS往往继续发送报警信息,大多数虚假警报的结果,和报警信息是不符合逻辑的,IDS报警信息是用户头疼的问题,通常需要20小时报警信息的两小时的调查和分析,网络管理员抱怨。我每天花很多时间检查IDS记录,午餐和检查,甚至在节假日。那些IDS记录成了我每天的宝书,
对有缺陷的IDS,加特纳建议用户使用IPS(入侵防御系统)代替传统的入侵检测系统。公司如国际空间站,NetScreen,纳伊,TippingPoint,stillsecure,和顶层都可以提供不同的IDS,IPS设备。这只是监控和报警,IPS只能通过保持在线停止攻击(现在的一部分。Entercept奈)和Okena(现在的一部分,思科),基于IPS软件的主机,可以直接部署在应用服务器上,系统调用拦截,关键系统文件监控,修改文件权限更改等袭击的迹象。
作为IDS Gartner表示,IPS取代IDS大多数分析师和IDS厂商年底,IPS厂商甚至不这么认为,至少到目前为止,它被认为是入侵检测系统在安全审计和后期跟踪仍然是不可替代的。事实上,无论是IDS和IPS使用相同的检测技术,都是由检测精度的困惑。因为担心IPS的误判可能会影响正常的网络服务,大多数用户访问与入侵检测系统在企业网络的IPS(仅用于监测)模式。
IDS携手IPS 9
IDS和IPS厂商在自动配置和智能分析做更多的尝试。比如,这unityone可以配置在几minutes.ids厂商,包括思科,赛门铁克,和国际空间站,也可以删除无关的报警信息提供了一个系统的审计功能。
IDS产品相比,IPS设备expensive.ips保护周边非常有用,DMZ区和一个或两个关键子网,但在一个大型网络400个子网络,用户可能没有部署IPS的所有子网的经济实力。
事实上,IPS入侵检测系统可以用在各取所长的结合。而防止应用层如蠕虫攻击,IPS也可以减少生成的警报的内部ID号,让用户舒适使用IDS监控子网和提高企业的安全策略。例如,用户使用层的攻击缓和IPS保护网关和数据中心。打开每一个过滤程序,可以肯定的是,没有合法的业务流程将被封锁。攻击缓和IPS部署在防火墙阻止DoS攻击。同时,用户监控网络内部使用IDS不会花太多时间看IDS记录。巧合的是,另一个用户使用TippingPoint IPS设备unityone在网络的边缘,和大量的StealthWatch IDS基于行为检测技术应用在网络代替原来的Snort入侵检测系统的装置。块效应的IPS下,IDS报警信息的数量已经减少了99%。在此之前,用户需要花一整天检查IDS记录,她现在不需要这样做了。
总结
除了IPS技术,另一个专门用于保护Web服务器和Web应用防火墙DMZ区的应用,这主要是为了防止Web应用盗窃,特别是防止盗窃攻击Web应用防火墙和IPS错过。此外,基于主机的入侵防御软件还可以为Web应用程序和内部关键服务器的额外保护。检查点和NetScreen防火墙产品增加深层检测功能。与IPS和Web应用防火墙依赖于硬件,检查点和NetScreen防火墙的应用都是基于软件实现的。
面对当前的安全挑战,大多数分析师和制造商都认为保护企业网络的最佳方法是相互防范,使防火墙、IPS和IDS发挥各自的优势。
希望本文能使读者重新认识的ID,并利用他们之间的共同合作,防止网络入侵。