【文章內(nèi)容簡介】 在檢測時出現(xiàn)虛警的概率。（1）國內(nèi)廠家：華為、啟明星辰、網(wǎng)御星云、天融信下圖為華為某IDS設(shè)備圖 華為NIP 2100D其具體參數(shù)如下： 2100D信息 啟明星辰NS100信息（2）國外廠家：Cisco、Juniper、CheckpointCisco 入侵檢測系統(tǒng)4200系列設(shè)備檢測器，Cisco IDS 4200系列設(shè)備檢測器包括三型產(chǎn)品：Cisco IDS 42Cisco IDS 4235和Cisco IDS 4整個Cisco IDS設(shè)備系列提供多種解決方案，這些解決方案可以集成到多種不同的環(huán)境中，包括企業(yè)和電信運營商環(huán)境。每個設(shè)備檢測器都能提供多檔性能，滿足從45Mbps到千兆位的帶寬要求。具體參數(shù)指標(biāo)（暫無），下列指標(biāo)為根據(jù)部分產(chǎn)品信息得來的一些選擇參數(shù)（1）最大檢測率（2）最大并發(fā)連接數(shù)（3）每秒新建連接數(shù)（4）處理能力（默認漏報率為0時）（5）漏報率和誤報率（6）延遲（7）吞吐量（8）特征數(shù)：去除冗余參數(shù)，保留能夠反映系統(tǒng)狀態(tài)的重要參數(shù)的一個算法（1）基于主機:系統(tǒng)分析的數(shù)據(jù)是計算機操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄。主機型入侵檢測系統(tǒng)保護的一般是所在的主機系統(tǒng)。是由代理(agent)來實現(xiàn)的，代理是運行在目標(biāo)主機上的小的可執(zhí)行程序，它們與命令控制臺(console)通信。（2）基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負著保護整個網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器(sensor)組成，傳感器是一臺將以太網(wǎng)卡置于混雜模式的計算機，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。（3）混合型:基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)都有不足之處，會造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機的混合型入侵檢測系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 混合型網(wǎng)絡(luò)入侵檢測系統(tǒng)IETF（Internet工程任務(wù)組）將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器（Event generators）；事件分析器（Event analyzers）；響應(yīng)單元（Response units ）；事件數(shù)據(jù)庫（Event databases ）。 事件產(chǎn)生器的功能是從整個計算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。事件分析器分析得到的事件數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等有效反應(yīng)，當(dāng)然也可以只是報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導(dǎo)事件的分析及反應(yīng)，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。下圖為IDS入侵檢測系統(tǒng)報警過程， 網(wǎng)絡(luò)端口（光、電口），控制端口基本功能：（1）監(jiān)督并分析用戶和系統(tǒng)的活動（2）檢查系統(tǒng)配置和漏洞（3）檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識別代表已知攻擊的活動模式（5）對反常行為模式的統(tǒng)計分析（6）對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。其他功能：攻擊檢測能力；響應(yīng)方式；日志與報表；策略功能；管理功能；用戶管理；升級管理；產(chǎn)品安全性IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：（1）盡可能靠近攻擊源（2）盡可能靠近受保護資源這些位置通常是：（1）服務(wù)器區(qū)域的交換機上（2）Internet接入路由器之后的第一臺交換機上（3）重點保護網(wǎng)段的局域網(wǎng)交換機上防火墻和IDS可以分開操作，IDS是個監(jiān)控系統(tǒng)，可以自行選擇合適的，或是符合需求的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設(shè)置及規(guī)則，或是重新設(shè)置！ 某網(wǎng)絡(luò)中入侵檢測設(shè)備位置4．入侵防御IPS入侵防御系統(tǒng)(IPS: Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件（Antivirus Programs）和防火墻(Packet Filter, Application Gateway)的補充。入侵防御系統(tǒng)(Intrusionprevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。 詳細信息見附件：針對越來越多的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，不僅需要有效檢測到各種類型的攻擊，更重要的是降低攻擊的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。一款優(yōu)秀的網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)該具備以下特征：（1）滿足高性能的要求，提供強大的分析和處理能力，保證正常網(wǎng)絡(luò)通信的質(zhì)量；（2）提供針對各類攻擊的實時檢測和防御功能，同時具備豐富的訪問控制能力，在任何未授權(quán)活動開始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給企業(yè)帶來的損失；（3）準確識別各種網(wǎng)絡(luò)流量，降低漏報和誤報率，避免影響正常的業(yè)務(wù)通訊；（4）全面、精細的流量控制功能，確保企業(yè)關(guān)鍵業(yè)務(wù)持續(xù)穩(wěn)定運轉(zhuǎn)；（5）具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；（6）可擴展的多鏈路IPS防護能力，避免不必要的重復(fù)安全投資；（7）提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時間把攻擊阻斷在企業(yè)網(wǎng)絡(luò)之外，同時也支持旁路模式部署，用于攻擊檢測，適合不同客戶需要；（8）支持分級部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求。（1）國內(nèi)廠家：華為、H3C、天融信、啟明星辰、DCN華為入侵防御系統(tǒng)： 關(guān)于華為設(shè)備詳細信息見附件： 目前許多廠家產(chǎn)品中將入侵檢測和入侵防御融合到一起，同時對系統(tǒng)中流量進行監(jiān)管和防護，如下列這件產(chǎn)品中其功能包含：入侵檢測和防御功能，稱之為IDP系統(tǒng)。 某產(chǎn)品信息（2）國外廠家：思科、Juniper Cisco FirePOWER 8000 系列設(shè)備Cisco入侵防御系統(tǒng)產(chǎn)品手冊： （1）吞吐量：作為用戶選擇和衡量NIPS性能最重要的指標(biāo)之一，吞吐量是指NIPS在不丟包的情況下能夠達到的最大包轉(zhuǎn)發(fā)速率。吞吐量越大，說明NIPS數(shù)據(jù)處理能力越強。（2）延遲：現(xiàn)在網(wǎng)絡(luò)的應(yīng)用種類非常復(fù)雜，許多應(yīng)用對延遲非常敏感(例如音頻、視頻等)而網(wǎng)絡(luò)中加入NIPS必然會增加傳輸延遲，所以較低的延遲對NIPS來說也是不可或缺的。（3）最大并發(fā)連接數(shù)：最大并發(fā)連接數(shù)決定了NIPS能夠同時支持的并發(fā)用戶數(shù)，它反映出NIPS對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這對于NIPS來說也是一個非常重要的性能指標(biāo)，尤其是在受NIPS保護的網(wǎng)絡(luò)向外部網(wǎng)絡(luò)提供公眾服務(wù)的情況下，一般來說，該指標(biāo)越大越好。（1）基于主機的入侵防御(HIPS)：HIPS通過在主機/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。基于主機的入侵防御技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機制來阻斷對服務(wù)器、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機的安全水平。（2）基于網(wǎng)絡(luò)的入侵防御(NIPS)：NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網(wǎng)絡(luò)會話，而不僅僅是復(fù)位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計成類似于交換機的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個網(wǎng)絡(luò)端口。（3）應(yīng)用入侵防御(AIP)：IPS產(chǎn)品有一個特例，即應(yīng)用入侵防御（Application Intrusion Prevention，AIP），它把基于主機的入侵防御擴展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIP被設(shè)計成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，以確保用戶遵守設(shè)定好的安全策略，保護服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上，直接對數(shù)據(jù)包進行檢測和阻斷，與具體的主機/服務(wù)器操作系統(tǒng)平臺無關(guān)。（1）若干自適應(yīng)10/100/1000光/電口，作為監(jiān)控端口，區(qū)分旁路和非旁路監(jiān)控端口（2）模塊化端口（3）管理端口等（1）異常偵查。正如入侵偵查系統(tǒng), 入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子，可以對照識別異常。（2）在遇到動態(tài)代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時，先把它們放在沙盤內(nèi)，觀察其行為動向，如果發(fā)現(xiàn)有可疑情況，則停止傳輸，禁止執(zhí)行。（3）有些入侵預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對通過網(wǎng)關(guān)或防火墻進入網(wǎng)路內(nèi)部的有害代碼實行有效阻止。（4）核心基礎(chǔ)上的防護機制。用戶程序通過系統(tǒng)指令享用資源 (如存儲區(qū)、輸入輸出設(shè)備、中央處理器等)。入侵預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)請求。（5）對Library、Registry、重要文件和重要的文件夾進行防守和保護?！　‰S著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng)IDS的技術(shù)，已經(jīng)無法應(yīng)對一些安全威脅。在這種情況下，IPS技術(shù)應(yīng)運而生，IPS技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網(wǎng)絡(luò)帶寬資源。　　對于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對流經(jīng)的每個報文進行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應(yīng)用會話；切斷此次TCP連接。進行了以上分析以后，我們可以得出結(jié)論，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位（入口/出口）；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域，可以根據(jù)實際情況與重要程度，酌情部署。下圖為華三SecPATH IPS設(shè)備部署方式，（1）IPS在線部署方式部署于網(wǎng)絡(luò)的關(guān)鍵路徑上，對流經(jīng)的數(shù)據(jù)流進行27層深度分析，實時防御外部和內(nèi)部攻擊。 IPS在線部署方式 （2）IDS旁路部署方式對網(wǎng)絡(luò)流量進行監(jiān)測與分析，記錄攻擊事件并告警。 IDS旁路部署方式 IDS和IPS的區(qū)別和選擇IPS對于初始者來說，是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信。而IDS只是存在于你的網(wǎng)絡(luò)之外起到報警的作用，而不是在你的網(wǎng)絡(luò)前面起到防御的作用?！　PS檢測攻擊的方法也與IDS不同。一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你的網(wǎng)絡(luò)?！　∧壳盁o論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測系統(tǒng)的可能。但由于入侵防御產(chǎn)品的出現(xiàn)，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產(chǎn)品，什么時候該選擇入侵防御產(chǎn)品呢?　　從產(chǎn)品價值角度講：入侵檢測系統(tǒng)注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。入侵防御系統(tǒng)關(guān)注的是對入侵行為的控制。與防火墻類產(chǎn)品、入侵檢測產(chǎn)品可以實施的安全策略不同，入侵防御系統(tǒng)可以實施深層防御安全策略，即可以在應(yīng)用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當(dāng)然也是入侵檢測產(chǎn)品所做不到的?！　漠a(chǎn)品應(yīng)用角度來講：為了達到可以全面檢測網(wǎng)絡(luò)安全狀況的目的，入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。如果信息系統(tǒng)中包含了多個邏輯隔離的子網(wǎng)，則需要在整個信息系統(tǒng)中實施分布部署，即每子網(wǎng)部署一個入侵檢測分析引擎，并統(tǒng)一進行引擎的策略管理以及事件分析，以達到掌控整個信息系統(tǒng)安全狀況的目的?！　《鵀榱藢崿F(xiàn)對外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實時分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網(wǎng)絡(luò)邊界進入網(wǎng)絡(luò)?！　∪肭謾z測系統(tǒng)IDS的核心價值在于通過對全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整，而入侵防御系統(tǒng)IPS的核心價值在于對數(shù)據(jù)的深度分析及安全策略的實施—對黑客行為的阻擊；入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對內(nèi)部攻擊行為無能為力。IPS可以理解為深度filewall。統(tǒng)一威脅管理設(shè)備UTM統(tǒng)一威脅管理(Unified Threat Management)， 2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management，簡稱UTM)新類別。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統(tǒng)一威脅管理的新類別中，該概念引起了業(yè)界的廣泛重視，并推動了以整合式安全設(shè)備為代表的市場細分的誕生。本設(shè)備主要適用于中小型企業(yè)、中小辦公機構(gòu)及多分支機構(gòu)，另外對于大型企業(yè)、電信企業(yè)骨干網(wǎng)等可以作為防火墻等網(wǎng)絡(luò)安全設(shè)備的有效補充。由IDC提出的UTM是指由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全功能，將多種安全特性集成于一個硬設(shè)備里，構(gòu)成一個標(biāo)準的統(tǒng)一管理平臺。 天清漢馬 UTM設(shè)備圖從定義上來講，UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。雖然UTM集成了多種功能，但卻不一定要同時開啟。根據(jù)不同