1.3、入侵检测

    在网络安全领域，随着黑客应用技术的不断“傻瓜化”，入侵检测系统IDS的地位正在逐渐增加。一个网络中，只有有效实施了IDS，才能敏锐地察觉攻击者的侵犯行为，才能防患于未然。根据监测对象不同，IDS系统分为NIDS、SIV、LFM以及Honeypots。

    无论哪种入侵检测系统，都是实时网络自动违规识别和响应系统。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络信息安全检测预警系统能够根据系统安全策略做出反应，包括实时报警，事件登录，自动阻断通信连接或执行用户自定义的安全策略等。|

    本系统具有强大的攻击检测预警能力、违规操作检测预警能力、实时通讯连接阻断和攻击制止能力、风险分析报告能力、支持分布式入侵检测。它不仅能够防止来自外部的攻击行为，而且能够防止内部发起的入侵行为，同时它是实时的，是信息与网络系统安全实施的主要领域。任何具有一定规模的网络系统均对此系统有较大的需求。

    在2006年第三季度中国网络安全监测报告中，入侵检测系统领域领先的为启明星辰、安氏中国及中联绿盟。其他国内入侵检测系统厂商比较知名的有天融信、东软、中科网威以及金诺网安等等，在国内占有市场不足前三。

    1.3.1、启明星辰

    “天阗”入侵检测系列产品是是启明星辰信息技术有限公司自行研制开发的入侵检测系统，是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品，同时天阗还通过了所有权威管理部门的测评和认证。它一种动态的入侵检测与响应系统。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问题。其联机文档提供了丰富的事件说明及恢复措施，可以最大程度地为网络系统提供安全保障。

    1.3.2、安氏领信

    LinkTrust IDS的核心检测技术是新一代的协议分析技术。该技术结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击。这三大技术构成了LinkTrust IDS所有解决方案的基础，它显著地提高了入侵检测系统的性能，能够适应高速的千兆网络环境。它采用基于状态的协议分析技术，结合模式匹配、异常统计来检测网络误用行为和异常活动。它采用专门定制的硬件平台，能够在高负载的千兆网络上提供高水平的性能；同时使用专用的操作系统，配合刻录在CD－ROM上的传感器程序进行引导，从而提供了最大可能的自身安全。

    1.3.3、中联绿盟

    中联绿盟信息技术(北京)有限公司自主研发的“冰之眼”网络入侵侦测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控，提供企业级的安全侦测手段。在事后分析的时候，可以清楚的界定责任人和责任事件，为网络管理人员提供强有力的保障。使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予侦测和响应，在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为。针对不同的网络结构，冰之眼都能够很好的适应，特别是在和防火墙的配合上，冰之眼通过设置，可以从任何一个方向穿过防火墙，不需要在防火墙上专门设置规则。

    1.3.4、天融信

    网络卫士（NetGuard）入侵检测系统是北京天融信公司获得多项国际、国内安全认证与奖项的新一代入侵检测与防护系统。它采用多重检测、多层加速、SSL加密访问检测等多项天融信独创安全技术，致力于降低IDS的误报率、漏报率，提高IDS的捕包与分析能力，并加强IDS对蠕虫攻击以及隐含在加密数据流中攻击的检测能力，极大地突破了目前IDS市场普遍存在的瓶颈问题。

    1.3.5、东软

    NetEye 入侵检测系统（IDS）是东软股份针对网络蠕虫病毒泛滥、内部人员对网络的违规使用、网络的长期健康运行无法有效保障等情况。东软网络入侵监测系统利用独创数据包截取技术对网络进行不间断的监控，扩大网络防御的纵深，采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进行报警，响应和防范。NetEye入侵检测系统（IDS）具备完整的多用户分权管理，支持多级分布式管理，便于大规模部署。NetEye

    入侵检测系统（IDS）系统可与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。

    1.3.6、中科网威

    网威网络入侵检测系统作为安全检测的重要防线，能提供安全审计、监视、攻击识别、防蠕虫和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，是其它安全设备的必要补充，在网络安全防御中起到了不可替代的作用。系统采用引擎/控制台结构，引擎在网络中各个关键点部署，通过网络和中央控制台交换信息。网络引擎部分运行于特制的安全操作系统之上，以专用硬件提供，负责网络数据的获取、分析、检测，对警报进行过滤和实时响应，并发送给控制台进行显示和记录；控制台运行于Windows平台，负责警报信息的及时显示、记录、查阅、分析、支持用户定制检测、响应策略和控制网络引擎。

    1.3.6、金诺网安

    金诺网安入侵检测系统KIDS是上海金诺网络安全技术股份有限公司自主研发的入侵检测系统，是国家“863”安全应急计划课题的延伸和发展，也是国家科技部创新基金无偿资助的重点项目。KIDS采用了智能的检测技术、新一代的包处理技术和协议分析算法，传感器具备强劲的流量处理引擎，同时具有强大的安全事件追踪分析功能和安全响应功能。据公安部计算机信息系统安全产品质量监督检验中心的严格检验及认定，在平均包长256字节的情况下，KIDS的百兆产品（KIDS1250/KIDS1500/KIDS3000）和千兆产品（KIDS10000）都已具备全线速处理能力，完全可适用于对各种高速网络环境的防御和监控。

    小结

    因为诸多不足，在目前而言，IDS主要起的还是监听记录的作用。用个比喻来形容：网络就好比一片黑暗，到处充满着危险，冥冥中只有一个出口；IDS就象一支手电筒，虽然手电筒不一定能照到正确的出口，但至少有总比没有要好一些。称职的网管，可以从IDS中得到一些关于网络使用者的来源和访问方式，进而依据自己的经验进行主观判断（注意，的确是主观判断。例如用户连续ping了服务器半个小时，到底是意图攻击，还是无意中的行为？这都依据网络管理员的主观判断和网络对安全性的要求来确定对应方式。）对IDS的选择，跟上面谈到的防火墙的选择类似，根据自己的实际要求和使用习惯，选择一个自己够用的，会使用的就足够了。