随着人们对网络安全的重视,越来越多的人认识到网络安全的重要性,而由于防火墙在网络安全设备的特殊地位也被很多人接受,从而出现一种现象,说到安全“言必称墙”,但如果想要构建一个完整网络安全体系光有防火墙还是远远不够的,防火墙由于本身的设计思路和技术特征也决定了它功能的一些局限性,防火墙也存在软肋,之所以这样说的原因在于:防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。通过在网络出口处部署高性能的防火墙可以过滤掉非法的流量,防火墙只负责提供3-4层的基本安全环境和数据转发能力。而面对CodeRed、MyDoom等各种第七层攻击,多数防火墙都无法有效防御随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。
这个时候你就需要入侵检测来强化防火墙的软肋,弥补防火墙系统在七层攻击检测能力不足的问题,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。 IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。
目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计分析和协议分析技术。通过这些技术的应用,IDS就可以轻松发现透过防火墙的类似CodeRed、MyDoom等各种第七层攻击。
IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入你的网络甚至计算机系统时,这种系统可以检测出来,并进行报警,通知你采取措施进行响应。就像买汽车保险一样,IDS也被认为是“最好买上,以防万一”的东西,否则等到出事儿的时候就晚了。
在本质上,入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。IDS处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告以及响应阶段等四个阶段。数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎提供的主机通讯数据包和系统使用等情况。数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点或应用程序的BUG来进行入侵为目的,可以区分为异常行为和错误使用检测。报告及响应阶段针对上一个阶段中进行的判断做出响应。如果被判断为发生入侵,系统将对其采取相应的响应措施,或者通知管理人员发生入侵,以便于采取措施。最近人们对入侵检测以及响应的要求日益增加,特别是对其跟踪功能的要求越来越强烈。
IDS的使用,解决了以上的问题。设置硬件防火墙,可以提高网络的通过能力并阻挡一般性的攻击行为;而采用IDS入侵防护系统,则可以对越过防火墙的攻击行为以及来自网络内部的违规操作进行监测和响应。弥补防火墙的软肋
为了确保网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。IDS就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警。IDS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。IDS就是自动执行这种监视和分析过程的安全产品。
入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用:通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生;检测其他安全措施未能阻止的攻击或安全违规行为;检测黑客在攻击前的探测行为,预先给管理员发出警报;报告计算机系统或网络中存在的安全威胁;提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
而方正入侵检测系统独有的实时网络监控、网络异常统计,通过图表、和报表的方式可以非常直观、方便的帮助网络管理人员对整个网络的各种数据流实时监测,并可对某一敏感时间段的数据进行提取放大,配合我们根据资深网管人员多年经验设定的各种安全阀值,可以在最短时间内侦测到最新、最细微的网络异常。
