IDS应用为先


    “IDS会被IPS取代”、 “IDS要和防火墙联动”……这两年来,市场上关于IDS的技术观点层出不穷。但是,只要你仔细地琢磨一下就不难发现,这些概念更多地是在炒作,其实际效果只能是给用户误导,让他们在网络安全建设上多走弯路。事实上,用户最渴望和最需要的是能给他们的网络、系统核心应用带来实实在在安全的产品、技术。对此,不久前,东软明确提出了“IDS应用为先”的口号,让IDS能够贴近用户需求,针对其实际应用环境,带来实在的价值。

    防御是表,应用为先

    长期以来,IDS的“漏报”和“误报”问题一直困扰着用户,对此,东软IDS从“应用为先”出发,在全线产品中严格贯彻这一思想,基于“全面关注网络健康”的管理理念,全面整治IDS的“软肋”。

    加强攻击检测是减少“漏报”和“误报”现象的首要手段。对此,东软IDS 新品NetEye 2.2在原有2.1的基础上做了进一步的优化。它利用独创的数据包截取技术,对网络进行不间断地监控,扩大了网络的防御深度;同时采用基于网络数据流实时智能分析技术,判断来自网络内部和外部的入侵企图,及时做出报警、响应和防范等反应,构成防火墙之后的第二道安全闸门;NetEye IDS 2.2利用数据流智能重组,能够轻松处理分片和乱序数据包,综合使用模式匹配、异常识别、统计分析、协议分析、行为分析等多种方法,能够检测出2000种以上的攻击和入侵行为。

    过去,攻击检测是IDS的全部。而今天,它只是IDS的一个重要方面。IDS要实现全面关注网络健康、“应用为先”,还应该能够做到帮助用户对检测内容进行深层次的分析,最终提交给用户一份有意义的报告。
于是,东软在NetEye IDS 2.2中新增加了内容恢复和应用审计功能,它能针对常用的多种应用协议,比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等进行内容恢复,能完全真实地记录通信的全部过程与内容,并将其进行回放。此功能对于了解攻击者的攻击过程、监控内部网络中的用户是否滥用网络资源、发现未知的攻击具有重要和积极的作用。例如,在恢复HTTP的通信内容时,可恢复出其中的文本与图形等信息;而应用内容的审计则可发现内部的攻击,了解哪些人员查看了不该查看的内容。

    此外,实时监测网络流量并及时发现攻击行为,亦是IDS的一项基本特征,对此,东软NetEye IDS 2.2中增加了对网络实时监控和诊断功能,能对全网络进行主动扫描,实时发现网络中的异常,并给出详细的检测报告。

    这样,在审计和监控等多项功能上得到加强的东软NetEye IDS已经赋予了IDS更多的创新和实用性能,它再也不是传统意义上的IDS,它是适用于用户需求,保护用户网络健康的新型IDS。

    工具+人=应用安全

    在信息安全领域,有句行话,“技防之外,仍需人防”。即不能单纯寄希望于借助某项技术来保证绝对的安全,在保卫网络安全的过程中,人仍然是主导因素。安全工具只是为人提供信息,辅助人们决策,然后去执行人们的指令而已。东软IDS的“应用为先”策略同样也体现了这一点。
 
    事实上,对于安全问题能够做到自动发现、自动解决——曾经一度是一些厂商号称“从用户应用出发”而提出的观点,比如“防火墙+IDS联动”,但是,经过实际检验证明,它只是一种良好的愿望,不具有实际操作性,是一种虚热,如今,人们对IDS的期望又重新归向平实。人们意识到,在购买了IDS产品后,同样需要一名称职的网管,依据自己丰富的经验作出最终判断:某种网络行为到底是一种严重的恶意攻击,还是一次无关紧要的误操作。

    “应用为先” 首先要求正视人在安全判断中的决定作用。区别出正常的业务活动和非正常的网络活动,是人们使用IDS等安全工具的最终目的。计算机只能根据人们设定的规则做出反应,最终还需要网管员根据自身业务的特性,即应用特性来作出判断。比如,在银行等金融机构里,他们最关注的是交易系统的稳定性,因此,其网络审计的重要目标就是交易数据,其相应行为规则的判断也是据此来定;在电信部门,他们更关心的是带宽的正常使用,因此,其网络审计的重要目标就是带宽,其相应行为规则的判断也是据此来定。东软可以根据用户应用的侧重点不同,在同一IDS中做模块化的处理,开放其某项功能,关闭另外一些无关的功能。

    其次,“应用为先”还要求注重IDS产品的易用性。用户有时候的确很讨厌IDS冒出一片报警信息。尤其是对于某些大型企业用户,因IDS的误报而莫名增加了管理员之间的协调。如果IDS厂家在易用性和易维护性上多下些功夫,无疑可以给用户带来更美好的应用体验。

    东软NetEye IDS 在这一方面就做了专门考虑。为了方便网络管理人员,NetEye IDS 2.2对网络安全管理模块进行了加强,除了提供IDS的用户输入输出界面外,还集成了网管员最常用到的一部分管理功能。它可以收集网络用户信息,包括IP地址、MAC地址、用户名等,帮助网管员解决IP地址冲突等网络故障;它还可以收集网络中主机的操作系统版本号信息,帮助网管员确定网络中的补丁升级情况。NetEye IDS 2.2的网络安全管理平台集成了嗅探器和扫描器工具,免去了网管员想分析网络数据时还要再启sniffer等等诸如此类的麻烦。此外,监控模块还可实时监控网络的当前流量状况,便于用户发现网络异常、定位网络故障。通过集成这些网管功能,NetEye IDS 2.2极大地提高了网管员的工作效率。

    2000年,东软推出NetEye IDS;2004年,东软NetEye IDS闯入国内品牌前三甲;不久前,NetEye IDS成功中标大型项目浙江电力,由此可见,在“应用为先”的务实策略的推动下,它正在逐渐成为用户采购IDS产品的首选。对此,东软网络安全事业部IDS产品经理周阳充满信心:“我们之所以能够赢得用户,关键在于,NetEye IDS可以保证用户务实高效的应用。”

 

联系我们

欢迎致电4006556789,或通过在线方式与我们联系

close

关闭