@时光机
2年前 提问
1个回答

选择合适的入侵检测系统由哪几个方面展开调研

安全小白成长记
2年前

选择合适的入侵检测系统由以下几个方面展开调研:

  • 产品类型:优先采用具有所有类型的产品,但出于对安全目标实现成本以及部署实现和管理难度等方面的考虑,可以确定采用何种主机和网络型产品。

  • 实现的入侵检测技术:产品是否是目前主流的入侵检测技术,采用滥用和异常检测等多种技术,确保选取的产品在技术实现方面保持先进。

  • 产品能够检测的攻击数量和升级能力:这与产品厂商的技术和服务能力密切相关,是入侵检测系统能够长久稳定运行的最基本保证。现在几乎每个星期都有新的漏洞和攻击方法出现,如果仅仅能够识别少量的攻击方法或者版本升级缓慢,将无法保证网络的安全。

  • 产品对攻击的响应能力:入侵检测系统在识别攻击事件的同时,必须做出适当的响应。尝试对恶意的攻击切断,关闭防火墙或路由器的相关端口,账户挂起,恢复被篡改的文件并及时通知管理员。另外,它还必须有详细的日志能力,如信息记录和回放功能,可以提供详细的分析和取证数据。

  • 定制的能力:入侵检测系统通常是对网络或宿主计算机通用的监控工具。对特殊的监控需求只能通过用户自定义监控策略实现。例如,对审计日志中出现特殊字符的监控,对指定文件的内容的监控等,需要通过灵活的客户化能力实现。

  • 远程管理能力:现在大型的信息系统网络往往覆盖面都较大,跨部门、跨楼层、跨地域等分布式部署需求非常明确。但是如果产品没有远程管理能力,则基本上不具备可用性。

  • 平台覆盖情况:主机和网络入侵检测都应尽可能支持Windows和多种Linux/UNIX平台。特别是如果需要部署主机型入侵检测系统,更要提早调研清楚。

  • 产品自身安全:例如加密通信、透明接入等。入侵检测系统记录了企业最敏感的数据,必须有自我保护机制,防止成为黑客的攻击目标。

  • 性能:应根据实际信息系统运行性能要求,要求入侵检测系统必须能够在这种高性能应用背景下稳定快速地运行所有期望的安全功能。

  • 稳定性:由入侵检测系统不同组件间网络通信负载不能影响正常的网络业务,本身的处理能力也应满足实时分析数据峰值的预估处理能力,否则无法在危险发生时稳定地保护网络。

  • 易用性:入侵检测系统应当为安全管理员提供易用性的功能,通过提供友好的用户界面、方便的自定义设置方法,提高安全管理员对产品的利用效率。