UTM/IDS/IPS

自从著名的市场调查研究公司Gartner在2003年6月发布题为《入侵检测系统已“死”》的研究报告以来，关于到底是IDS(入侵检测系统)还是IPS(入侵防护系统)更有生命力的争论一直没有停止过，并有愈演愈烈之势。然而，争论从来不能解决实际问题，无论是媒体连篇累牍的报道，还是厂商的翻新炒作，抑或是学者引经据典的反复论证，都不能左右一个产品在市场上的实际走向，市场是检验产品生命力的唯一标准。应该看到，经过2004、2005两年的发展，IPS产品的阵营在不断扩大，所推出的产品也越来越丰富，但仍有不少厂家在在IDS领域专心经营，用户群也在日益扩大，并推出了不少令人振奋的新品，比如北京榕基网安日前推出了功能强大的RJ-IDS系列入侵检测产品，可以被看作是国内IDS产品仍然东风劲吹的佐证。榕基的新品推出是因势利导还是逆流而上呢，国内IDS产品的前景究竟如何呢，也许我们需要对IDS的产品特性及其近两年来的发展趋势有一个全面的了解，才不致于被充斥于我们面前的名目繁多但却未必可信的文字误导而得出想当然的结论。。

　赛门铁克的解决办法有两种：一是对IDS产品的应用范围（如作业平台）事先作一个分类。比如面向一个只有Windows平台的企业网络，则IDS包含的针对Unix平台攻击的检测特征功能就可以忽略，从而避免误报。二是从根源上解决问题，即通过互补产品来减少IDS的误报。赛门铁克已有的风险管理产品，就可以首先帮助企业查出漏洞所在，对易遭受攻击的弱点究根寻源，然后企业在堵住这些漏洞的前提下，应用IDS，其误报率会大大减少。

ATIDSMXX.SYS是很多ATI显卡都在使用的驱动程序。 ATIDSMXX.SYS驱动中存在设计问题，本地攻击者可能利用此漏洞获取系统权限。 本地攻击者可以利用一个名为Purple Pill的工具将未签名的驱动写入Vista驱动层，这样包括anti-rootkit/anti-DRM等模块都可以写入Windows Vista受保护的内核，导致完全入侵操作系统。

入侵检测系统，英文简写为IDS，顾名思义，它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话，那么入侵检测系统（IDS）就是可以主动寻找罪犯的巡警。 因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义，同时也是为了使IDS进一步趋向完善。

入侵检测系统，英文简写为IDS，顾名思义，它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话，那么入侵检测系统(IDS)就是可以主动寻找罪犯的巡警。 因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义，同时也是为了使IDS进一步趋向完善。

入侵检测系统（IDS）是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。IDS技术主要面临着三大挑战。

传统的状态检测防火墙作为第一道防线，能够防止网络层攻击，却无法防范蠕虫等针对应用层的攻击(这些攻击都利用了80和443等开放端口)。入侵检测系统使用传感器，传感器被动地安装在网络上，用来监测网络通信，寻找任何恶意访问迹象。传感器能够发现针对应用层的攻击，却不能阻止这些攻击，当网管员接到IDS的报警信息并采取相应措施时，经常为时已晚。

对于“IDS和IPS(IDP)谁更满足用户需求？”这个问题，给人一个二选一的感觉。对于IDS和IPS的业界讨论，也从2003年 Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝，入侵防御将万古长青》的报告开始在安全业界掀起不小的波动。经过了这么长时间的反复文字争论，以及观看近来的产品开发和市场反馈，冷静的业界人士和客户已经看到这根本不是一个二选一的问题。回答这个问题和回答“IDS和防火墙谁更满足用户需求？”“IPS和防火墙谁更满足用户需求？”这些问题是一样的。

黑客攻击的目标主要是用户终端，如果入侵检测系统不能和操作系统内核很好地配合，那么产品再多，做得再好，也是治标不治本。 主流的入侵检测方法有三种 通常，入侵检测系统按照其工作原理主要分为三种类型：基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。其中前两种应用得最广泛，国内大多数的产品都是基于这样的工作原理。基于网络的入侵检测系统检测的数据来源于网络中的数据包，与受保护网段内的主机无关，适用范围比较广，并且一般不影响网络流量和受保护主机的性能；基于主机的入侵检测系统检测的数据来源于系统日志、审计记录，与受保护主机的操作系统等有关，因此一般只适用保护特定的计算机。 分布式入侵检测系统这种工作方式比较新，目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。

我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器，这是另一个确定网络中存在哪些活动类型的工具。入侵监测系统会在两方面引起你的注意。首先，这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二，你可能在推荐这种产品，因此，你必须知道如何为特殊的网络情况推荐这种产品。 　　在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。

面对日益严重的攻击，入侵检测系统(IDS)作为防火墙的有力补充，实时监视着网络中的不法行为; 　　阻止入侵或试图控制系统及网络资源的恶意攻击， 　　正在成为安全部署中不可或缺的工具之一， 　　其产品与技术正在不断地更新和发展，新亮点不断涌现。 　　提到网络安全，很多人首先想到的是防火墙。配置适当的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统(IDS)应运而生。随着网络的发展，IDS技术也在不断更新和变化。

范网络黑客？本文介绍了动态的入侵检测技术IDS . 　　入侵检测技术是当今一种非常重要的动态安全技术，如果与 \"传统 \"的 静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。

伴随着网络的发展，也产生了各种各样的安全问题，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDoS攻击越来越常见，黑客攻击行为几乎每时每刻都在发生。如何及时的、准确的发现违反安全策略的事件，并及时处理，是广大企业用户迫切需要解决的问题。

我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器，这是另一个确定网络中存在哪些活动类型的工具。入侵监测系统会在两方面引起你的注意。首先，这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二，你可能在推荐这种产品，因此，你必须知道如何为特殊的网络情况推荐这种产品。

在开发者的团体内，关于“什么是检测攻击的最有效的方法？”的问题的争论还在激烈的进行着，不过IDS的用户对目前的IDS技术还是感到满意的，为了获得更有优势的竞争，很多的IDS产品提供商，都在其产品中加入了主动响应的功能。这个功能的概念就是说IDS将检测攻击者的攻击行为，并组织攻击者继续进行攻击。不过，问题是稍有一点TCP/IP知识的攻击者都可以轻易的直接击败这些响应机制；或者利用这些机制实现阻断网络的功能，管理员将不得不关闭这些功能。对于管理员来说，明白主动响应的局限性将有助于管理员盲目的相信那些产品提供商。

通过部署天珣内网安全风险管理与审计系统，不仅可以与网络接入设备共同建设企业网络实名制管理平台，将企业安全管理制定执行落实到每一个员工，也为企业提供了非常可靠的内网终端安全审计平台，为企业安全管理目标的实现提供了强大的保证。

随着入侵检测系统的广泛应用，对入侵检测系统进行测试和评估的要求也越来越迫切。开发者希望通过测试和评估发现产品中的不足，用户希望测试和评估来帮助自己选择合适的入侵检测产品。本文根据目前的相关研究，介绍了入侵检测系统测试评估的标准、指标，方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。

目前，绝大多数IDS（入侵检测系统）的检测机制还停留在：基本的数据包捕获加以非智能模式匹配与特征搜索技术来探测攻击。而协议分析能够智能地“理解”协议，利用网络协议的高度规则性快速探测攻击的存在，从而避免了模式匹配所做的大量无用功——导致所需计算的大量减少。

SoftNIDS入侵检测系统是江苏南大苏富特软件股份有限公司自主开发的黑客入侵检测与预警系统，集成了网络监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。它可以在Internet和Intranet两种环境中运行，以保护企业整个网络的安全。分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。

作为国内最早、最专业的网络安全产品及服务系统解决方案提供商，天融信公司近日新推出内置最多入侵检测规则的入侵检测系统----网络卫士入侵检测系统（NetGuard IDS）。该系统内置2800余种入侵检测规则，比其它同类产品多出1000余种。不仅如此，NetGuard IDS还具有强大实时检测、与防火墙/路由器联动、主动阻断、自动升级、实时监控和协议还原功能。除此之外，其还能快速检测出几百种蠕虫病毒，旨在为用户构建一个全面高效、可靠、易用的网络综合安全管理环境。