NetEye IDS突围传统

文章来源：信息安全与通信保密

    以IDS为代表的检测技术和以防火墙为代表的访问控制技术，从根本上来说是两种截然不同的技术行为。IDC技术自诞生以来发展非常迅速，大有逼近防火墙的态势。
    然而一段时间以来，关于IDC的是非功过微词渐起。著名评估机构Gartner甚至指出，传统的IDS产生过多的误报，且不能检查出未知的威胁。它在高速环境中容易受到威胁，在连续模式匹配方案中也有困难。为此，Gartner建议用户放弃IDS，转而把资金投向防火墙等更好的策略上。Gartner认为，IDS实际上只是给用户增添了麻烦，因为它带来漏报和误报的问题，并且因要求不间断的监控，从而增加了系统负担。与之相应的是，IPS系统乘机泛起。
    由此可见，传统IDS遭遇不满的根源在于，人们对IDS的“漏报”和“误报”，同时，也来自对IDS仅能报警而不能采取实际阻断攻击的措施的功能局限。于是，一些厂商推出了“防火墙+IDS”联动的模式，试图改变IDS的形象。然而，经过一段时间的实际应用，这种模式正在逐渐失去生命力：如果IDS的核心问题──“漏报”和“误报”不解决，联动只能增加网络管理员的新麻烦，引起网络的新故障，这是谁都不愿意面对的局面。
　　于是，IDS如何进行创新，就成为各厂商追逐的目标。
    东软网络入侵检测系统NetEye IDS 2.2，以“网络安全问题是一个完整的过程，而不是一个孤立的事件”为核心设计思想，针对目前网络蠕虫病毒大规模泛滥、内部人员对网络资源滥用、网络故障引起的网络健康问题等情况，开始倡导“全面关注网络健康”的网络管理理念。这一全新的IDS产品去年5月推出，在性能上取得了很大突破，除了更加强大攻击检测功能外，还提供同类产品中少有的网络内容恢复、网络应用审计、网络实时监控、网络主动扫描等强大功能。其易用性、易维护性、可部署性以及降低用户总拥有成本等方面具有明显的优势。“过去，攻击检测是IDS功能的全部。而今天，它只是IDS的一个重要方面，而不是全部，IDS要实现全面关注网络健康问题，还应该能对检测的内容进行有效管理。我们赢得用户的心关键在于赢在为用户提供务实高效的应用上” 东软网络安全事业部IDS产品经理周阳表示。
    事实上，经过一年多来在金融、电力、公安等行业推广应用，东软NetEye IDS已经得到了用户的广泛认可。根据国内外权威调研机构安全报告显示，2004年东软IDS市场占有率名列国内品牌前三位，使东软成为首家在防火墙和IDS两个领域都取得领先地位的中国唯一一家安全厂商。那么东软NetEye IDS玄机何在呢？
    加强攻击检测
    攻击检测依然是衡量一个IDS是否有效的关键指标。这一点对所有的IDS都是一样的，其关键点是减少IDS系统的顽症──“漏报”和“误报”。 NetEye IDS 2.2在2.1的基础上进行了进一步优化，利用独特的数据包截取技术对网络进行不间断的监控，采用基于网络数据流的实时智能分析技术，能轻松处理分片和乱序数据包，综合使用包括攻击模式匹配、统计分析、协议分析、行为分析等多种方法，来判断来自网络内部和外部的入侵企图，因此，可以检测1700种以上的攻击与入侵行为。
    增加内容恢复和应用审计
    过去，攻击检测是IDS功能的全部。而今天，东软网络入侵检测系统NetEye IDS 2.2突破了传统常规，它只是IDS的一个重要方面，而不是全部，IDS要实现全面关注网络健康问题，还应该能对检测的内容进行有效管理。
    NetEye IDS 2.2新增加了内容恢复和应用审计功能。它能针对常用的多种应用协议，比如Http、Ftp、Smtp、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo MSG等进行内容恢复，能完全记录通信的全部过程与内容，并将其回放。此功能对于了解攻击者的攻击过程、监控内部网络中的用户是否滥用网络资源，发现未知的攻击具有很大的作用。例如，在恢复Http的通信内容时，可恢复文本、图形等。而应用内容的审计则可发现内部的攻击，了解哪些人员查看了哪些不该查看的内容。东软网络入侵检测系统NetEye IDS 2.2
的功能包括了目前的专业安全审计产品的大部分内容，用户购买了IDS后，可以完全不必再购买专业的审计产品。
    融合网管
    网络管理和网络安全二者殊途同归，都是为了保障用户网络的健康运转。为了方便网络管理人员，NetEye IDS 2.2的网络安全管理平台除了提供IDS的用户输入输出界面外，还集成了网管员最常用到的一部分管理功能。它可以收集网络用户信息，包括IP地址、MAC地址、用户名等，帮助网管员解决IP地址冲突等网络故障。它还可以收集网络中主机的操作系统版本号信息，帮助网管员确定网络中的补丁升级情况。NetEye IDS 2.2的网络安全管理平台集成了嗅探器和扫描器工具，免去了网管员想分析数据包时还要再启sniffer等等诸如此类的麻烦。此外，管理平台还可实时监控网络的当前流量状况，便于用户发现网络异常，定位网络故障。总之，通过集成这些网管功能，NetEye IDS 2.2将极大地提高网管员的工作效率。
    对网络实时监控
    对于像Sniffer这样的网络检测工具，一般的网络管理人员并不陌生，因为，它在检查网络故障方面，具有非常重要的作用。而实时监测网络流量异常，并及时发现攻击行为，应该是IDS基本特征，为此，东软特在NetEye IDS 2.2中增加了对网络实时监控和诊断的功能，能对全网络进行主动扫描，实时发现网络中的异常，并给出详细的检测报告。
    增加了内容回放和网络实时监控的IDS已经完全超越了以往简单进行攻击检测的IDS概念，它增加的强大功能，无疑将使IDS成为全面的网络故障分析仪、网络安全探测仪。东软认为“IDS是一种主动发现网络隐患的安全技术。作为防火墙的合理补充，入侵检测技术应该能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力，包括安全审计、监视、攻击识别和响应，提高信息安全基础结构。因此，IDS应该能够识别黑客常用的入侵与攻击手段、监控网络的异常通信、鉴别对系统漏洞及后门的利用，完善网络安全管理。”
    提供务实有效安全保障
    东软用户之一杭州网监中心对NetEye IDS 2.2的使有着较深的体会。该中心陈华冠表示：“根据杭州网监中心前期统计数字，73%左右的网络安全问题都是由系统内部引起的。俗话说，日防夜防，家贼难防。内部人员对系统十分了解，也掌握一定技术，因此比外贼更厉害。且事实上，外部高手对于中国的网络系统其实是有着几分不屑的，认为缺乏难度和挑战度的网络现状不能让其获得成功攻破的满足感。”正是因此，杭州网监的监察工作自1993年开始以来就一直相当重视“内防”，比如人员管理、制度管理、监督检察等等，并在数据流上进行双向监控。采用了东软NetEye IDS 2.2以后，能够有效监控内部网络中的用户是否滥用了网络资源，并通过审计能够及时发现未知攻击，从而扩大了网络防御的纵深，构成了防火墙之后的第二道安全闸门。
    作为信息安全的骨干企业，东软在技术方面的每一个新举措都不例外地受到人们的关注。东软NetEye IDS 2.2在此项技术上的创新，是对IDS发展的有益拓展，因为在相当一段时间，IDS还将在市场上有所作为。