面对越来越多的攻击,网络安全产品为保护我们的系统、数据发挥了重要作用。目前绝大部分网络安全产品是基于边界防御的,比如防火墙、UTM、IPS等,这些产品部署在网络边界,对进出的网络数据流量进行检测,确认是否符合访问控制规则、是否存在攻击行为、是否携带病毒文件等,然后放行或阻断网络数据。边界防护类产品能根据设定的策略自动过滤流量,降低了安全风险的同时还极大简化了管理人员的工作量,因此深受欢迎。然而攻防双方技术交替发展,边界防御产品并不能保证万无一失。加上不合理的配置或人为疏忽,存在边界防御产品保护的网络也会碰到一定的安全问题。对于安全程度要求高的网络来说,必须有进一步的方法来解决这个问题。
一般来说,攻击分为扫描探测、攻击、安置后门几个步骤。入侵检测产品都能对这几种行为进行分析、检测,因此入侵检测产品早已成为网络安全的必需品。等级保护等相关行业也明文规定了各级网络中应该部署入侵检测产品。
由于IDS可以监听网络内部的通讯,无论是内部主机直接的威胁还是从外到内的威胁,都可以及时报警,从而提醒网络管理员来处理存在的威胁。在大规模蠕虫爆发时,正是IDS的预警,使得管理员能及时采取行动,从而极大地避免了网络崩溃导致的危害。然而还是有人认为IDS用处不大,这到底是什么原因呢?