目前����,市場上的入侵檢測產(chǎn)品大大小小有上百家�����,如何選擇適合自己的產(chǎn)品����,是一件擺在廣大安全管理員和企業(yè)技術(shù)決策者面前很頭痛的事���。下面我們就根據(jù)產(chǎn)品的綜合性能�,談?wù)劜少忂^程中的基本原則。
1.產(chǎn)品的攻擊檢測數(shù)量為多少�����?是否支持升級�?
IDS的主要指標(biāo)是它能發(fā)現(xiàn)的入侵方式的數(shù)量,幾乎每個星期都有新的漏洞和攻擊方法出現(xiàn),產(chǎn)品的升級方式是否靈活直接影響到它功能的發(fā)揮。一個好的實時檢測產(chǎn)品應(yīng)該能經(jīng)常性升級�,并可通過互聯(lián)網(wǎng)或下載升級包在本地升級���。
2.對于網(wǎng)絡(luò)入侵檢測系統(tǒng)�,最大可處理流量(PPS)是多少����?
首先,要分析網(wǎng)絡(luò)入侵檢測系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境,如果在512K或2M專線上布署網(wǎng)絡(luò)入侵檢測系統(tǒng)�����,則不需要高速的入侵檢測引擎�����,而在負(fù)荷較高的環(huán)境中��,性能是一個非常重要的指標(biāo)。
3.產(chǎn)品容易被攻擊者躲避嗎�?
有些常用的躲開入侵檢測的方法�����,如:分片����、TTL欺騙、異常TCP分段�����、慢掃描���、協(xié)同攻擊等����。產(chǎn)品在設(shè)計時是否考慮到這一點。
4.能否自定義異常事件���?
IDS對特殊的監(jiān)控需求只能通過用戶自己定制監(jiān)控策略實現(xiàn)。一個優(yōu)秀的IDS產(chǎn)品�,必須提供靈活的用戶自定義策略能力��,包括對服務(wù)、訪問者����、被訪問者���、端口����、關(guān)鍵字以及事件的響應(yīng)方式等策略��。
5.產(chǎn)品系統(tǒng)結(jié)構(gòu)是否合理�?
一個成熟的產(chǎn)品�,必須是集成了基于百兆網(wǎng)絡(luò)、基于千兆網(wǎng)絡(luò)�、基于主機(jī)的三種技術(shù)和系統(tǒng)。
傳統(tǒng)的IDS大多是兩層結(jié)構(gòu),即“控制臺→探測器”結(jié)構(gòu),一些先進(jìn)的IDS產(chǎn)品開始采用三層架構(gòu)進(jìn)行部署����,即“控制臺→事件收集器+安全數(shù)據(jù)庫→探測器”結(jié)構(gòu)����,對于大型網(wǎng)絡(luò)來說,三層結(jié)構(gòu)更加易于實現(xiàn)分布部署和集中管理�,從而提高安全決策的集中性���。如果沒有遠(yuǎn)程管理能力���,對于大型網(wǎng)絡(luò)基本不具備可用性��。
6.產(chǎn)品的誤報和漏報率如何?
有些IDS系統(tǒng)經(jīng)常發(fā)出許多假警���,假警報常常掩蓋了真攻擊。這些產(chǎn)品在假警報重負(fù)下一再崩潰�,而當(dāng)真正攻擊出現(xiàn)時����,有些IDS產(chǎn)品不能捕獲攻擊�����,而另一些IDS產(chǎn)品的報告混雜在假警報中���,很容易被錯過��。過分復(fù)雜的界面使關(guān)掉假警報非常困難,幾乎所有IDS產(chǎn)品在默認(rèn)設(shè)置狀態(tài)下都會產(chǎn)生非常多的假警報,給用戶帶來許多麻煩�。
7.系統(tǒng)本身是否安全�?
IDS系統(tǒng)記錄了企業(yè)最敏感的數(shù)據(jù)�����,必須有自我保護(hù)機(jī)制,防止成為黑客的攻擊目標(biāo)。
8.產(chǎn)品實時監(jiān)控性能如何�����?
由IDS通信造成的對網(wǎng)絡(luò)的負(fù)載不能影響正常的網(wǎng)絡(luò)業(yè)務(wù)����,必須對數(shù)據(jù)進(jìn)行實時分析,否則無法在有攻擊時保護(hù)網(wǎng)絡(luò),所以必須考慮網(wǎng)絡(luò)入侵檢測產(chǎn)品正常工作的最大帶寬數(shù)�����。
9.系統(tǒng)是否易用�����?
系統(tǒng)的易用性包括五個方面:
界面易用――全中文界面�,方便易學(xué),操作簡便靈活�。
幫助易用――在監(jiān)控到異常事件時能夠立刻查看報警事件的幫助信息���,同時在聯(lián)機(jī)幫助中能夠按照多種方式查看產(chǎn)品幫助����。
策略編輯易用――能否提供單獨的策略編輯器�����?可否同時編輯多個策略����?是否提供策略打印功能���。
日志報告易用――是否提供靈活的報告定制能力���。
報警事件優(yōu)化技術(shù)――是否針對報警事件進(jìn)行優(yōu)化處理���,將用戶從海量日志中解放出來����,先進(jìn)的IDS能夠?qū)⒁欢〞r間內(nèi)的類似事件經(jīng)過優(yōu)化處理后合并進(jìn)行報警,這樣�����,用戶面對的日志信息不僅更為清晰而且避免錯過重要報警信息����。
10.特征庫升級與維護(hù)的費用怎樣?
像反病毒軟件一樣����,入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法���。
11.產(chǎn)品是否通過了國家權(quán)威機(jī)構(gòu)的評測���?
主要的權(quán)威評測機(jī)構(gòu)有:國家信息安全評測認(rèn)證中心����、公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心等����。
另外����,購買IDS產(chǎn)品需要考慮多種因素,上面只是基本的要點�。由于用戶的實際情況不同���,用戶可根據(jù)自己的安全需要綜合考慮��。
