【文章內(nèi)容簡介】 動系統(tǒng)中， IDS能夠以不同方式對各種可疑的活動作出響應。這些對可疑活動的反應方式包括：對離線的用戶進行記錄，關掉某個連接，或甚至重新對防火墻進行編程以阻斷來自可疑源地址的惡意網(wǎng)絡數(shù)據(jù)流。 IDS的發(fā)展趨勢 具有預測功能 安全廠商們正在開發(fā)下一代具有預測功能的 IDS，即 IDS能夠識別并記錄攻擊，并且不會受到自身日志數(shù)據(jù)的影響，而且能夠進行無憂的最小差錯告警。 能夠辨別攻擊發(fā)生的時態(tài) 下一代 IDS將能夠辨別攻擊已經(jīng)發(fā)生、正在發(fā)生或可能發(fā)生。它利用指示器和告警、網(wǎng)絡監(jiān)控和管理數(shù)據(jù)、已知漏洞和威脅等信息，構造一個攻擊復原程序。 采用蜜罐技術 密罐在設計時就是能夠使攻擊者進入，一旦黑客進入，我們就可以實現(xiàn)我們的許多目的。我們可以預警、建立入侵檢測機制，或阻斷入侵。 分布式跨平臺運行 IDS系統(tǒng)是否能在不同的操作系統(tǒng)平臺（如 Windows， UNIX， Linux等）上運行，也會限制這些技術的使用。 多系統(tǒng)聯(lián)動 未來的 IDS將不是作為一個獨立的系統(tǒng)來運行，它必須能夠與網(wǎng)絡中的其他設備實現(xiàn)互動。它能夠從其它系統(tǒng)中獲得更多的有關攻擊的信息，降低誤報率，并采取主動防御措施，以阻斷攻擊。 保留高質(zhì)量的日志作為起訴證據(jù) 日志必須保持特定的質(zhì)量，并且必須對網(wǎng)絡上所有計算機的操作、登錄和退出類型進行記錄。同時，對所收集的信息進行保護以保持法律上的價值，是即時響應計劃的一部分。如果 IDS沒有即時響應計劃，實際上降低了 IDS自身的價值， IDS的日志就變成毫無價值的數(shù)據(jù)。 IDS的發(fā)展趨勢 IDS應用中的幾個問題 IDS的選型要合理 在系統(tǒng)中 IDS的布臵也特別重要，究竟是選用基于主機的 IDS還是基于網(wǎng)絡的 IDS，或者兩種都要，這些需要根據(jù)組織機構的安全策略而定。 要根據(jù)安全策略進行評估 在選擇入侵檢測系統(tǒng)策略和產(chǎn)品之前，用戶必須對網(wǎng)絡的安全需求作徹底的分析。投資回報（ ROI— return on investment）雖然難以計算，但是在任何情況下，成本和收益需要加以權衡。在 IDS的成本得到正確判定之前，我們需要關注整個信息安全架構中的許多問題。評估的最后結(jié)果也許會認為，選擇和實施 IDS是一種浪費。用戶網(wǎng)絡中也許已經(jīng)擁有了某些技術，只不過沒有得到充分利用或沒有得到合理配臵。 IDS應用中的幾個問題（續(xù)） 成立安全協(xié)作小組 在對網(wǎng)絡的安全狀態(tài)進行分析時，要求服務器的管理人員和網(wǎng)絡設備管理人員一起進行協(xié)作。只有這樣，我們才能知道系統(tǒng)是否已經(jīng)對漏洞打了補丁，訪問控制方案是否存在弱口令，對 root或管理員的訪問是否控制得當。 對已知的漏洞打安全補丁 在所有廠商中，安全補丁是重點考慮的事情，應該得到重點開發(fā)。因此，在安裝 IDS之前，首先準確認識你的網(wǎng)絡或主機的安全狀態(tài)，把它們提高到一個基本的安全級別上，并且采用一定的維護手段使它們穩(wěn)定在所期望的安全等級上，也許更加有效。一旦完成了以上工作， IDS會對整個網(wǎng)絡的安全性發(fā)揮更大的作用。 一個好的 IDS應具備哪些特性 用最少的人力干預連續(xù)運行 它應該在后臺運行。內(nèi)部的工作應該能夠從外部檢查到，所以它不是黑盒子。 容錯是必須的 容錯使它能夠從系統(tǒng)災難中幸存下來，并且不需要重新啟動，就可以重建知識數(shù)據(jù)庫。 它必須難以破壞 它應該能夠監(jiān)視其本身存在的可疑活動，這些活動試圖削弱 IDS的檢測系統(tǒng)或試圖關機，從這個意義上講系統(tǒng)必須是自動修復的（ selfhealing）。 性能是非常關鍵的 如果產(chǎn)生了性能問題， IDS就不能用。 能夠發(fā)現(xiàn)異常行為 它必須能夠發(fā)現(xiàn)與正常網(wǎng)絡行為的偏離； 易于配置 對于它所監(jiān)控的系統(tǒng)來說， IDS必須易于配臵。每一系統(tǒng)都有一個不同的使用模式， IDS的防護機制應該易于適應這些模式。 對環(huán)境有很強的適應性 它應該象一個變色龍，能夠適應于它所處的環(huán)境，當系統(tǒng)變化時，如當系統(tǒng)增加新的應用、升級和任何其它改變時，應該能與系統(tǒng)保持同步改變。 必須考慮對其自身的防護 為了更有效， IDS必須具有嵌入式防護機制，并且它周圍的環(huán)境應該得到加固，使它難于被欺騙。 一個好的 IDS應具備哪些特性 建立 IDS保護系統(tǒng)的步驟 行動 1： 用戶必須愿意提供資源 （ 資金 、 人力和時間 ） 對當前系統(tǒng)和網(wǎng)絡中存在的缺陷打安全補丁 ， 并且把網(wǎng)絡和主機的安全放在工作首位 。 行動 2： 所有的系統(tǒng)和網(wǎng)絡管理員必須通過培訓 ， 掌握基本的安全技能 ， 并專注于消除基本的安全缺陷 。 培訓主要應集中在以下幾個方面：系統(tǒng)安全性泄露 、 漏洞測試 、 通常的攻擊及解決方案 、 防火墻設計和配臵 ， 以及一些其它的安全技巧 。 行動 3： 一旦安全目標已定 ， 我們就必須采取適當?shù)男袆?。 網(wǎng)絡和系統(tǒng)管理員需要保持技術更新 ， 并在系統(tǒng)和網(wǎng)絡的適當位臵布臵安全防護措施和設備 ， 來監(jiān)控和維護系統(tǒng)的安全性 。 （六）虛擬專網(wǎng) — VPN ? VPN是在公眾數(shù)據(jù)網(wǎng)上建立私有數(shù)據(jù)網(wǎng)； ? VPN技術主要是隧道技術和密碼技術； ? 按其在不同層次上實現(xiàn)，可分四種： ?鏈路層 VPN ?網(wǎng)絡層 VPN ?傳輸層 VPN ?非 IP類 VPN ? VPN應用領域包括： ?遠程移動用戶遠程訪問公司總部； ?總部與分支機構在公網(wǎng)上組建內(nèi)域網(wǎng) ； ?內(nèi)域網(wǎng)與合作伙伴網(wǎng)絡連接形成外域網(wǎng)。 VPN隧道示意圖 Inter 隧道包 虛擬隧道 隧道端點 數(shù)據(jù)包 隧道包報頭 數(shù)據(jù)包 VPN應用實例 VPN VPN 服務器 服務器 服務器 數(shù)據(jù)庫 數(shù)據(jù)庫 數(shù)據(jù)庫 PC機 PC機 PC機 電話 電話 電話 傳真 傳真 傳真 總公司 分公司 分公司 VPN Inter VPN支持移動用戶遠程上網(wǎng) 遠程 LAN 公司 LAN VPN VPN Modems 移動終端 （ VPN客戶端） Inter 物理隔離系統(tǒng) ? 內(nèi)外網(wǎng)的安全隔離。 管理保障 成立網(wǎng)絡安全領導小組 要從上到下把網(wǎng)絡安全重視起來，由行政領導牽頭，技術部門負責，系統(tǒng)和管理員參與，成立安全管理領導監(jiān)督小組。 加強網(wǎng)絡安全項目的建設和管理，負責貫徹國家有關網(wǎng)絡安全的法律、法規(guī)，落實各項網(wǎng)絡安全措施； 督促有關部門對用戶進行安全教育，監(jiān)督、檢查、指導網(wǎng)絡安全工作。 監(jiān)督網(wǎng)絡安全管理制度的執(zhí)行和貫徹，查處違反網(wǎng)絡安全管理的違紀、違規(guī)行為。 協(xié)助、配合公安機關查處網(wǎng)絡犯罪行為。 制訂一套完整的安全方案 一套完整的安全方案是整個系統(tǒng)安全的有力保障，要結(jié)合自己實際的網(wǎng)絡狀況，從人力、物力、財力做好部署與配臵，由于安全方案涉及到了安全理論、安全產(chǎn)品、網(wǎng)絡技術、系統(tǒng)技術實現(xiàn)等多方面專業(yè)技能，并且要求要有較高的認知能力，大多數(shù)企業(yè)、公司、政府等可能不具備此能力，此時可以聘請專業(yè)安全顧問公司來完成。大多安全顧問公司在做安全方案方面有著豐富的經(jīng)驗