如果有人知道了ips的规则,有预谋的进行攻击,那不是天下大乱了.?/

引用:

Originally posted by fishyxq at 2005-5-27 06:00 PM:



不赞同楼上兄弟的看法，实际上IPS取代IDS是必然的，只不过大家现在对IPS存在以下的疑虑：

1、部署在网关处，是否会造成网络的延迟；
    这点我参加一个测试时，部署在学校教育网的出口处，网络延迟跟 ...
2、其本身的功能定位，是否就是集合了防火墙的IDS；
3、误报漏报和错误阻断情况；

1 现在部署在网关出口处网络延迟没有受到影响,这句话我想是否考虑到策略加载的程度,如果单单几条最基本的防毒策略加载上去不受到影响这是可能的,我想既然是测试的话就应该多加载策略才能测试出设备的性能.
2 据了解大部分厂商的IPS产品都有学习的功能,一开始上线既当IDS用,旁路监控,当具体发现问题后再更改策略,进行阻断才能减少误报漏报和错误阻断的情况 当然这点和管理员的水平经验也是有关系的

[ Last edited by xiaoluobb on 2005-5-30 at 16:37 ]

1.产品的攻击检测数量为多少？是否支持升级？

　　IDS的主要指标是它能发现的入侵方式的数量，几乎每个星期都有新的漏洞和攻击方法出现，产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级，并可通过互联网或下载升级包在本地升级。

　　2.对于网络入侵检测系统，最大可处理流量(PPS)是多少？

　　首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

　　3.产品容易被攻击者躲避吗？

　　有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这一点。

　　4.能否自定义异常事件？

　　IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品，必须提供灵活的用户自定义策略能力，包括对服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。

　　5.产品系统结构是否合理？

　　一个成熟的产品，必须是集成了基于百兆网络、基于千兆网络、基于主机的三种技术和系统。

　　传统的IDS大多是两层结构，即“控制台→探测器”结构，一些先进的IDS产品开始采用三层架构进行部署，即“控制台→事件收集器＋安全数据库→探测器”结构，对于大型网络来说，三层结构更加易于实现分布部署和集中管理，从而提高安全决策的集中性。如果没有远程管理能力，对于大型网络基本不具备可用性。

　6.产品的误报和漏报率如何？

　　有些IDS系统经常发出许多假警，假警报常常掩盖了真攻击。这些产品在假警报重负下一再崩溃，而当真正攻击出现时，有些IDS产品不能捕获攻击，而另一些IDS产品的报告混杂在假警报中，很容易被错过。过分复杂的界面使关掉假警报非常困难，几乎所有IDS产品在默认设置状态下都会产生非常多的假警报，给用户带来许多麻烦。

　　7.系统本身是否安全？

　　IDS系统记录了企业最敏感的数据，必须有自我保护机制，防止成为黑客的攻击目标。

　　8.产品实时监控性能如何？

　　由IDS通信造成的对网络的负载不能影响正常的网络业务，必须对数据进行实时分析，否则无法在有攻击时保护网络，所以必须考虑网络入侵检测产品正常工作的最大带宽数。

　　9.系统是否易用？

　　系统的易用性包括五个方面：

　　界面易用——全中文界面，方便易学，操作简便灵活。

　　帮助易用——在监控到异常事件时能够立刻查看报警事件的帮助信息，同时在联机帮助中能够按照多种方式查看产品帮助。

　　策略编辑易用——能否提供单独的策略编辑器？可否同时编辑多个策略？是否提供策略打印功能。

　　日志报告易用——是否提供灵活的报告定制能力。

　　报警事件优化技术——是否针对报警事件进行优化处理，将用户从海量日志中解放出来，先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警，这样，用户面对的日志信息不仅更为清晰而且避免错过重要报警信息。

　　10.特征库升级与维护的费用怎样？

　　像反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

　　11.产品是否通过了国家权威机构的评测？

　　主要的权威评测机构有：国家信息安全评测认证中心、公安部计算机信息系统安全产品质量监督检验中心等。

IPS和IDS是不能相互取代的，他们的侧重点和实现也是有不同的。
我记得上次听NS的人讲，他们的IPS有一个比较的的地方是：基于策略来实施监测和阻断，类似防火墙的安全策略，这比以前的IDS基于开关的模式有很大的进步，是设计思路的进步！！！

俺们老师说：
IDS是临控用的摄像头，他可以发现范罪行为的发行，如不能与其他东东联动，比如保安或公安系统，他也仅仅只是发现而已。

所以俺想，误不误报不是IDS考虑的根本点，对于一个关键业务，就更有理由以傍听的模式加入IDS，这样在有范罪行为发现的时候，将可以获得更多的证据。

所以，IDS跟IDP，俺想这两种东东其实应该是独自为政的，不可以整到一起来，因为两者的应用场合不同，其都有各自的市场。

IDS早晚有一天退出安全市场,大家都是搞安全的心里都清楚的很.谁知道厂商是怎么想的.安氏不也开始做FW和SOC了吗?

任何产品都有被淘汰的一天
关键在于什么时候，它还有
没有更进一步的发展趋势。

可以好好学学！！！谢谢各位，辛苦了！

离淘汰IDS还有很长时间吧！！！！