攻防技術-堵住黑客非法入侵的11點原則

www.cmfu.com發布

目前，市場上的入侵檢測產品大大小小有上百家，如何選擇適合自己的產品，是一件擺在廣大安全管理員和企業技術決策者麵前很頭痛的事。下麵我們就根據產品的綜合性能，談談采購過程中的基本原則。

www.cmfu.com發布

1.產品的攻擊檢測數量為多少？是否支持升級？

www.cmfu.com發布

IDS的主要指標是它能發現的入侵方式的數量，幾乎每個星期都有新的漏洞和攻擊方法出現，產品的升級方式是否靈活直接影響到它功能的發揮。一個好的實時檢測產品應該能經常性升級，並可通過互聯網或下載升級包在本地升級。

www.cmfu.com發布

2.對於網絡入侵檢測係統，最大可處理流量(PPS)是多少？

www.cmfu.com發布

首先，要分析網絡入侵檢測係統所布署的網絡環境，如果在512K或2M專線上布署網絡入侵檢測係統，則不需要高速的入侵檢測引擎，而在負荷較高的環境中，性能是一個非常重要的指標。

www.cmfu.com發布

3.產品容易被攻擊者躲避嗎？

www.cmfu.com發布

有些常用的躲開入侵檢測的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協同攻擊等。產品在設計時是否考慮到這一點。

www.cmfu.com發布

4.能否自定義異常事件？

www.cmfu.com發布

IDS對特殊的監控需求隻能通過用戶自己定製監控策略實現。一個優秀的IDS產品，必須提供靈活的用戶自定義策略能力，包括對服務、訪問者、被訪問者、端口、關鍵字以及事件的響應方式等策略。

www.cmfu.com發布

5.產品係統結構是否合理？

www.cmfu.com發布

一個成熟的產品，必須是集成了基於百兆網絡、基於千兆網絡、基於主機的三種技術和係統。

www.cmfu.com發布

傳統的IDS大多是兩層結構，即“控製台→探測器”結構，一些先進的IDS產品開始采用三層架構進行部署，即“控製台→事件收集器＋安全數據庫→探測器”結構，對於大型網絡來說，三層結構更加易於實現分布部署和集中管理，從而提高安全決策的集中性。如果沒有遠程管理能力，對於大型網絡基本不具備可用性。

www.cmfu.com發布

6.產品的誤報和漏報率如何？

www.cmfu.com發布

有些IDS係統經常發出許多假警，假警報常常掩蓋了真攻擊。這些產品在假警報重負下一再崩潰，而當真正攻擊出現時，有些IDS產品不能捕獲攻擊，而另一些IDS產品的報告混雜在假警報中，很容易被錯過。過分複雜的界麵使關掉假警報非常困難，幾乎所有IDS產品在默認設置狀態下都會產生非常多的假警報，給用戶帶來許多麻煩。