UTM/IDS/IPS

IDS作为独立的产品形态，会在今后相当长的一段时间内存在，并发挥不可取代的作用。IDS技术同时会越来越多的集成进各种网络产品中，成为融合性安全产品的一部分。这两者是不存在矛盾的，因为考虑到对实时的影响，集成设备中的IDS是一个轻量级的IDS。这里的轻量级是指攻击特征最精简有效的一部分。而全面的IDS检测仍然需要通过旁路方式的IDS设备来完成。IDS厂商需要不断的技术更新，比如增加实时自动升级攻击特征库、日志事件智能分析等功能，才能推出真正有用的IDS产品。

这里仍有必要为饱受争议的IDS再说几句公道话，在主动防御渐入人心之时，担当网络警卫的IDS的报警作用更加重要。尽管IDS功过参半，但是IDS的报警功能仍是主动防御系统所必需的，也许IDS的产品形式会消失，但是IDS的检测功能并不会因形式的消失而消失，只是逐渐被转化和吸纳到其他的安全设备当中。

随着网络攻击技术的发展，出现了IDS躲避和欺骗技术。某些工具软件的传播使这些技术得以广泛地用于实际的网络攻击中。其中比较典型的IDS躲避技术包括传输控制层和网络层的IDS躲避技术，如数据包分片、重叠、碎片超时等。由于操作系统之间的差异，给网络入侵检测系统检测采用这类躲避技术的网络攻击增加了难度。snort 2的出现为网络安全维护提供了良好的工具。

主动防御与实时阻断是IPS的立足之本，但是由于受到技术与成本的局限，IPS尚无法完全替代IDS全面的检测与报告功能。IPS与IDS相比较而存在、相斗争而发展的局面仍然会继续下去。作为信息安全工作者或者用户，没有必要去争论两者谁会战胜谁，而应该研究如何发挥双方的特长，使其相辅相成，共同建立现实的信息安全体系。

IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。 正如你所看到的，IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测受到了人们的高度重视。国内的现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块阶段。可见，入侵检测产品仍具有较大的发展空间。从技术上讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。目前，许多学者在研究新的检测方法，如采用自动代理主动防御的方法、将免疫学原理应用到入侵检测的方法等。

NetRanger:与路由器结合。Cisco的NetRanger是当前性能最好的IDS之一。NetRanger使用一个引擎/控制模型，它几乎能够检测到当前已知的各种攻击。

入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。一般来说，很多情况下，不少用户的防火墙与IDS并不是同一家的产品，因此在联动的协议上面大都遵从 opsec 或者 topsec协议进行通信，不过也有某些厂家自己开发相应的通信规范的。目前总得来说，联动有一定效果，但是稳定性不理想，特别是攻击者利用伪造的包信息，让IDS错误判断，进而错误指挥防火墙将合法的地址无辜屏蔽掉。

如开源的Tripwire对于监视少量的服务器是合适的，因为这种情形并不需要集中化的控制和报告；服务器版Tripwire对于那些仅在Linux/UNIX/Windows平台上要求服务器监视并提供详细报告和最优化集中服务器管理的IT组织是一个理想的方案；而企业版Tripwire对于需要在Linux/UNIX/Windows服务器、数据库、网络设备、桌面和目录服务器之间安全地审核配置的IT组织而言是最佳选择。

很多文章介绍了如何通过建立，改善，以及分析服务器日记文件的种种方式，监测出来黑客入侵行为，但这些都是过去式，都是在入侵发生后你才知道存在这种行为而加以防范。最好的方法是能够在当场就能监测出恶意的网络入侵行为，并且马上采取防范反击措施加以纠正。因此即时监测黑客入侵行为并以程序自动产生响应的网络入侵监测系统（又称IDS）产生了。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。

所有的用户都希望用相对少的投入，建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作，则还要把其它网络管理功能集成起来，如网络管理、负载均衡、日志管理等，各自分工，但紧密协作。

统计分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录，或者针对某一特定站点的数据流量异常增大等。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

为了提高IDS的响应能力，目前国外比较成熟的做法是，用户将这项工作委托给其它专业的安全服务商。在国内还有一个对外包服务商的信任认知过程，而且要确保有一个与外界网络联系的实时畅通的渠道。因此，安全服务委托外包的方式，在国内还需时日。

HIDS会通过监测系统日志来发现可疑的行为，但有些程序的系统日志并不足够详细，或者没有日志。有些入侵行为本身不会被具有系统日志的程序纪录下来。

TCP最大连接数原本是防火墙的一个指标，现在被某些入侵检测厂商引入做为一个入侵检测的指标，并通过其大小来比拼产品优势。最新的一个数据是，某入侵检测产品在千兆的白皮书中声称的最大TCP连接数是50万。

在网络安全越来越受到各种各样人的重视之后，入侵检测（Intrusion Detection） 也得到了很多发展。跟随防火墙，入侵检测系统（IDS）目前成为了又一个火热的产品。但是，入侵检测技术，包括主动防御技术都不成熟，因此，各种IDS的检测性能参差不齐。 在技术还没有成熟的环境下，各种思想也得到发挥。比如基于模型推理检测技术、神经网络的检测、专家系统等等，这些技术都努力让入侵检测更有效，更智能，但是，目前绝大多数商业的IDS 都还是使用跟开放的snort一样的最简单包模式匹配技术。

IDS仍旧是主流的入侵检测技术，其重要性毋庸置疑。无论是IDS，还是IPS或IMS，其主要作用都是实时监控网络中的异常流量，帮助用户解决防火墙、防病毒等产品所不能解决的问题，IDS仍然是用户除防火墙、防病毒外的首选产品。面对攻击行为的不确定性，要保证网络的安全，用户需要实时监控，全网监测的时代已经来临。

以上我们已经探讨了好几种有着不同功能的工具。为了尽量保证你的环境的安全性，根据功能来选择工具就变得非常重要。工具之间"尺有所短，寸有所长"的情况很突出，所以，你的安全防线的第以关应该就是防火墙，然后，在防火墙后侧安装基于网络的IDSS用于监视防火墙，再以后呢（老外就是TMD烦），就应该是连接监测工具，比如PORTSEBTRY或者HOSTSENTRY之类的，最后呢，你还可以用LOGCHECK之类的工具来监测那些最终的进入者。