如何选择入侵检测设备.pdf

中国计算机报/2007 年/9 月/5 日/第 024 版 编读往来 入侵检测被认为是防火墙之后的第二道安全闸门。如果说防火墙是一栋大楼 的门卫,负责检查进出人员的身份并做好登记,那么大楼里面的录像监控系统就是 入侵检测系统。 如何选择入侵检测设备 赵毅 Q：入侵检测系统有哪些分类？ A：入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。基于网络的入 侵检测系统数据来源是网络中的所有数据包。优点是不会影响业务系统的性能，采取旁路侦听工 作方式，不会影响网络的正常运行；缺点是不能检测通过加密通道的攻击。基于主机的入侵检测 系统数据来源是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全 审计记录。其优点是能够提供更为详尽的用户行为信息，系统复杂性小、误报率低；缺点是对主 机的依赖性很强、性能影响很大，并且不能监测网络情况。 Q：入侵检测系统由哪些部分组成？ A：通常由两部分组成：传感器和控制台。传感器负责采集数据(网络包、系统日志等)、分析 数据并生成安全事件。控制台主要起到中央管理的作用，提供图形界面的控制台。 Q：主机型入侵检测系统的特点？ A：主机型入侵检测系统通常情况下比网络型入侵检测系统误报率要低，因为检测在主机上 运行的命令序列比检测网络流更简单，系统的复杂性也小得多。主机型入侵检测系统安装在我们 需要保护的设备上，这会降低应用系统的效率。主机型入侵检测系统依赖于服务器固有的日志与 监视能力。如果服务器没有配置日志功能，则必须重新配置，这将会给运行中的业务系统带来不 可预见的性能影响。 Q：网络型入侵检测系统的特点？ A：网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中 安装额外的软件，因而不会影响这些机器的 CPU、I/O 与磁盘等资源的使用，不会影响业务系统 的性能。网络型入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。在 使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络型入侵检测系统的传感器会 使部署整个系统的成本大大增加。 Q：入侵检测系统检测方法有哪些？ A：入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息 系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中 95%是属于使用入侵模板进 行模式匹配的特征检测产品，其他 5%是采用概率统计的统计检测产品与基于日志的专家支持库 系产品。 Q：入侵检测产品需要考虑的要点有哪些？ A：特征库升级与维护的费用，最大可处理流量(包/秒)，能否有效检测分片、TTL 欺骗、异 常 TCP 分段、慢扫描、协同攻击等规避方法，系统支持的传感器数目，最大数据库大小，传感器 与控制台之间通信带宽，产品支持的入侵特征数，产品的响应方法，都是选购产品时需要考虑的 因素。是否通过了国家权威机构的评测，是否有成功案例，性能价格比以及要保护系统的价值是 更重要的因素。 第 1 页 共 2 页 Q：部署入侵检测系统需要怎样的环境？ A：在选购入侵检测系统之前，首先要分析产品所部署的网络环境，如果在 512K 或 2M 专线 上部署网络入侵检测系统，则只需要 100M 的入侵检测引擎；而在负荷较高的环境中，需要采用 1000M 的入侵检测引擎。 第 2 页 共 2 页