UTM/IDS/IPS

比较新的IDS系统比以前的系统更准确一些。但是，这个数据库需要不断地更新以保持有效性。而且，如果发生了攻击并且在数据库中没有相匹配的签名，这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击，IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。

防病毒方案由四部分构成，即客户机防病毒、服务器防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更新，管理策略、病毒扫描配置等的分发。

Tripwire是一款入侵检测和数据完整性产品，它允许用户构建一个表现最优设置的基本服务器状态。它并不能阻止损害事件的发生，但它能够将目前的状态与理想的状态相比较，以决定是否发生了任何意外的或故意的改变。如果检测到了任何变化，就会被降到运行障碍最少的状态。

　当前通过邮件传播的病毒、蠕虫日益流行，其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播，常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ，带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。

作为IDS的基层组织，事件产生系统大可施展拳脚，它收集被定义的所有事件，然后一股脑地传到其它组件里。在Windows环境下，目前比较基本的做法是使用Winpcap和WinDump。

“集中检测，分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS，经过人工的分析可以变得准确。同样，经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析，可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。

提高IDS的易用性，一个非常重要的方面就是提高报警事件描述的质量。几乎所有的IDS都会提供对报警事件的详细描述，报警事件的描述一般包括：事件名称、事件介绍、发布日期、影响的平台和解决的方法。但是，现在很多事件的描述都很简单，比方说在解决方法里面只是提到打什么Patch等，对于缺乏安全经验的网络管理员来说，非常不具备操作性。如果你能够提供网站的连接，告诉他操作的思路，就会好很多。很多IDS提供了防火墙联动的功能，但是在事件的描述中只字不提如何利用联动阻止攻击，这个例子是说明作为这么重要的事件描述功能，应该和IDS的其他功能结合起来，在事件描述中不仅告诉用户事件的起源、影响平台等，还需要告诉客户如何利用好IDS来一定程度的解决问题。这体现了IDS产品本身的内在耦合性存在问题。这也许和许多IDS厂商只是简单的将检测规则和报警事件从其他地方复制或翻译过来，不做深入分析有关。

　网络入侵检测系统检测到网络攻击和可疑事件后，会生成安全事件或称报警事件，并将事件记录在事件日志中。每秒能够处理的事件数，反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。有的厂商将反映这两种处理能力的指标分开，称为事件处理引擎的性能参数和报警事件记录的性能参数。大多数网络入侵检测系统报警事件记录的性能参数小于事件处理引擎的性能参数，主要是Client/Server结构的网络入侵检测系统，因为引入了网络通信的性能瓶颈。这种情况将导致事件的丢失，或者控制台响应不过来了。

有些网络设备会处理TOS选项，如果NIDS与受保护主机各自连接的网络设备处理不一样的话，通过精心设置TOS选项，将会导致NDIS的Sensor与受保护主机收到的数据包的顺序不一样，于是有可能导致NIDS重组后的数据包与被保护主机的数据包不一致，从而绕过NIDS的监测(尤其在UDP包中)。

　IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测受到了人们的高度重视。国内的现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块阶段。可见，入侵检测产品仍具有较大的发展空间。从技术上讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。目前，许多学者在研究新的检测方法，如采用自动代理主动防御的方法、将免疫学原理应用到入侵检测的方法等。

入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

一个有趣的现象是: 基于网络的IDS被人们讨论得最多，似乎它应该代表IDS的发展潮流，但实际情况并非如此。部分原因是：① 所监控的网络流量超过100Mbps之后，计算量非常之大，系统的数据处理与分析能力会显著降低，这使得它面临着一个难以逾越的技术门槛；② 只能监控明文格式数据流，无法监控加密数据流，这不能不说是一个硬伤。

由于编码规则是定义好的，所以对树进行编码只是一个深度优先遍历和对各个节点依次编码的过程。在这种情况下，我们可以先对V编码，然后对R1子树编码，再对R2子树编码。如果上面的句子是一个连接句的一部分，那么，每个成分句都可以从中完好地提取出来。也就是说，如果句子事先已经编码，在插入到一个连接句时无须再进行编码。

数据收集机制在IDS中占据着举足轻重的位置。如果收集的数据时延较大，检测就会失去作用；如果数据不完整，系统的检测能力就会下降；如果由于错误或入侵者的行为致使收集的数据不正确，IDS就会无法检测某些入侵，给用户以安全的假象。

回顾往年，病毒流行趋势是以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，同时其他利用网络协议以及应用漏洞进行攻击与入侵也造成巨大的破坏，据风险管理公司mi2g的调查结果，仅2004年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。

在保护企业网服务器不受攻击方面，安全经理面临着众多的挑战。尽管入侵检测系统(IDS)曾一度广受欢迎，但如今互联网上攻击方式不断翻新，同时，签名技术的IDS检测不到新攻击和变形攻击，也检测不出加密流量中的攻击，因此，传统的IDS在主动性上逐渐显示出其局限性。

IPS针对企业深层应用进行防御，不仅可以实现对内容攻击行为的精确匹配，而且IPS采用在线检测的模式可以极大地保证采取防御手段的时间。目前，IPS已经成为了国内用户现阶段安全采购的主要关注点。

随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击作出响应的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这就需要引入一种全新的技术-入侵防护（Intrusion Prevention System，IPS）。

正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而，与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。