IDS应用为先

    “IDS会被IPS取代”、 “IDS要和防火墙联动”……这两年来，市场上关于IDS的技术观点层出不穷。但是，只要你仔细地琢磨一下就不难发现，这些概念更多地是在炒作，其实际效果只能是给用户误导，让他们在网络安全建设上多走弯路。事实上，用户最渴望和最需要的是能给他们的网络、系统核心应用带来实实在在安全的产品、技术。对此，不久前，东软明确提出了“IDS应用为先”的口号，让IDS能够贴近用户需求，针对其实际应用环境，带来实在的价值。

    防御是表，应用为先

    长期以来，IDS的“漏报”和“误报”问题一直困扰着用户，对此，东软IDS从“应用为先”出发，在全线产品中严格贯彻这一思想，基于“全面关注网络健康”的管理理念，全面整治IDS的“软肋”。

    加强攻击检测是减少“漏报”和“误报”现象的首要手段。对此，东软IDS 新品NetEye 2.2在原有2.1的基础上做了进一步的优化。它利用独创的数据包截取技术，对网络进行不间断地监控，扩大了网络的防御深度；同时采用基于网络数据流实时智能分析技术，判断来自网络内部和外部的入侵企图，及时做出报警、响应和防范等反应，构成防火墙之后的第二道安全闸门；NetEye IDS 2.2利用数据流智能重组，能够轻松处理分片和乱序数据包，综合使用模式匹配、异常识别、统计分析、协议分析、行为分析等多种方法，能够检测出2000种以上的攻击和入侵行为。

    过去，攻击检测是IDS的全部。而今天，它只是IDS的一个重要方面。IDS要实现全面关注网络健康、“应用为先”，还应该能够做到帮助用户对检测内容进行深层次的分析，最终提交给用户一份有意义的报告。
于是，东软在NetEye IDS 2.2中新增加了内容恢复和应用审计功能，它能针对常用的多种应用协议，比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等进行内容恢复，能完全真实地记录通信的全部过程与内容，并将其进行回放。此功能对于了解攻击者的攻击过程、监控内部网络中的用户是否滥用网络资源、发现未知的攻击具有重要和积极的作用。例如，在恢复HTTP的通信内容时，可恢复出其中的文本与图形等信息；而应用内容的审计则可发现内部的攻击，了解哪些人员查看了不该查看的内容。

    此外，实时监测网络流量并及时发现攻击行为，亦是IDS的一项基本特征，对此，东软NetEye IDS 2.2中增加了对网络实时监控和诊断功能，能对全网络进行主动扫描，实时发现网络中的异常，并给出详细的检测报告。

    这样，在审计和监控等多项功能上得到加强的东软NetEye IDS已经赋予了IDS更多的创新和实用性能，它再也不是传统意义上的IDS，它是适用于用户需求，保护用户网络健康的新型IDS。

    工具+人=应用安全

    在信息安全领域，有句行话，“技防之外，仍需人防”。即不能单纯寄希望于借助某项技术来保证绝对的安全，在保卫网络安全的过程中，人仍然是主导因素。安全工具只是为人提供信息，辅助人们决策，然后去执行人们的指令而已。东软IDS的“应用为先”策略同样也体现了这一点。
 
    事实上，对于安全问题能够做到自动发现、自动解决——曾经一度是一些厂商号称“从用户应用出发”而提出的观点，比如“防火墙+IDS联动”，但是，经过实际检验证明，它只是一种良好的愿望，不具有实际操作性，是一种虚热，如今，人们对IDS的期望又重新归向平实。人们意识到，在购买了IDS产品后，同样需要一名称职的网管，依据自己丰富的经验作出最终判断：某种网络行为到底是一种严重的恶意攻击，还是一次无关紧要的误操作。

    “应用为先” 首先要求正视人在安全判断中的决定作用。区别出正常的业务活动和非正常的网络活动，是人们使用IDS等安全工具的最终目的。计算机只能根据人们设定的规则做出反应，最终还需要网管员根据自身业务的特性，即应用特性来作出判断。比如，在银行等金融机构里，他们最关注的是交易系统的稳定性，因此，其网络审计的重要目标就是交易数据，其相应行为规则的判断也是据此来定；在电信部门，他们更关心的是带宽的正常使用，因此，其网络审计的重要目标就是带宽，其相应行为规则的判断也是据此来定。东软可以根据用户应用的侧重点不同，在同一IDS中做模块化的处理，开放其某项功能，关闭另外一些无关的功能。

    其次，“应用为先”还要求注重IDS产品的易用性。用户有时候的确很讨厌IDS冒出一片报警信息。尤其是对于某些大型企业用户，因IDS的误报而莫名增加了管理员之间的协调。如果IDS厂家在易用性和易维护性上多下些功夫，无疑可以给用户带来更美好的应用体验。

    东软NetEye IDS 在这一方面就做了专门考虑。为了方便网络管理人员，NetEye IDS 2.2对网络安全管理模块进行了加强，除了提供IDS的用户输入输出界面外，还集成了网管员最常用到的一部分管理功能。它可以收集网络用户信息，包括IP地址、MAC地址、用户名等，帮助网管员解决IP地址冲突等网络故障；它还可以收集网络中主机的操作系统版本号信息，帮助网管员确定网络中的补丁升级情况。NetEye IDS 2.2的网络安全管理平台集成了嗅探器和扫描器工具，免去了网管员想分析网络数据时还要再启sniffer等等诸如此类的麻烦。此外，监控模块还可实时监控网络的当前流量状况，便于用户发现网络异常、定位网络故障。通过集成这些网管功能，NetEye IDS 2.2极大地提高了网管员的工作效率。

    2000年，东软推出NetEye IDS；2004年，东软NetEye IDS闯入国内品牌前三甲；不久前，NetEye IDS成功中标大型项目浙江电力，由此可见，在“应用为先”的务实策略的推动下，它正在逐渐成为用户采购IDS产品的首选。对此，东软网络安全事业部IDS产品经理周阳充满信心：“我们之所以能够赢得用户，关键在于，NetEye IDS可以保证用户务实高效的应用。”