病毒预报 第二百八十四期（2008.7.14-2008.7.20）

病毒预报 第二百八十三期（2008.7.7-2008.7.13）

病毒预报 第二百八十二期（2008.6.30-2008.7.6）

病毒预报 第二百八十一期（2008.6.23-2008.6.29）

病毒预报 第二百八十期（2008.6.16-2008.6.22）

病毒预报 第二百七十九期（2008.6.9-2008.6.15）

　　随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。
作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。
IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测系统可分为主机型和网络型。
主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。
基于主机的入侵检测产品（HIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。

　　IDS 二十年风雨历程
从实验室原型研究到推出商业化产品、走向市场并获得广泛认同，入侵检测系（IDS）已经走过了二十多年的风雨坎坷路。
概念的诞生
1980年4月，James P. Anderson为美国空军做了一份题为《Computer SecurityThreat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。这份报告被公认为是入侵检测的开山之作。
模型的发展
从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。
1988年，SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了一个IDES。
百花齐放的春天
1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T.Heberlein等人开发出了NSM（Network Security Monitor）。入侵检测系统的两大阵营正式形成：基于网络的IDS和基于主机的IDS。
1988年的莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视。开展对分布式入侵检测系统（DIDS）的研究，DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。

1.产品的攻击检测数量为多少？是否支持升级？
IDS的主要指标是它能发现的入侵方式的数量，几乎每个星期都有新的漏洞和攻击方法出现，产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级，并可通过互联网或下载升级包在本地升级。
2.对于网络入侵检测系统，最大可处理流量(PPS)是多少？
首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。
3.产品容易被攻击者躲避吗？
有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这一点。
4.能否自定义异常事件？
IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品，必须提供灵活的用户自定义策略能力，包括对服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。
5.产品系统结构是否合理？
一个成熟的产品，必须是集成了基于百兆网络、基于千兆网络、基于主机的三种技术和系统。
6.产品的误报和漏报率如何？
有些IDS系统经常发出许多假警，假警报常常掩盖了真攻击。这些产品在假警报重负下一再崩溃，而当真正攻击出现时，有些IDS产品不能捕获攻击，而另一些IDS产品的报告混杂在假警报中，很容易被错过。过分复杂的界面使关掉假警报非常困难，几乎所有IDS产品在默认设置状态下都会产生非常多的假警报，给用户带来许多麻烦。
7.系统本身是否安全？
IDS系统记录了企业最敏感的数据，必须有自我保护机制，防止成为黑客的攻击目标。
8.产品实时监控性能如何？
由IDS通信造成的对网络的负载不能影响正常的网络业务，必须对数据进行实时分析，否则无法在有攻击时保护网络，所以必须考虑网络入侵检测产品正常工作的最大带宽数。
9.系统是否易用？
系统的易用性包括五个方面：
界面易用——全中文界面，方便易学，操作简便灵活。
帮助易用——在监控到异常事件时能够立刻查看报警事件的帮助信息，同时在联机帮助中能够按照多种方式查看产品帮助。策略编辑易用——能否提供单独的策略编辑器？可否同时编辑多个策略？是否提供策略打印功能。
日志报告易用——是否提供灵活的报告定制能力。
报警事件优化技术——是否针对报警事件进行优化处理，将用户从海量日志中解放出来，先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警，这样，用户面对的日志信息不仅更为清晰而且避免错过重要报警信息。
10.特征库升级与维护的费用怎样？
像反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。
11.产品是否通过了国家权威机构的评测？
主要的权威评测机构有：国家信息安全评测认证中心、公安部计算机信息系统安全产品质量监督检验中心等。
另外，购买IDS产品需要考虑多种因素，上面只是基本的要点。由于用户的实际情况不同，用户可根据自己的安全需要综合考虑。

    如果您对我们的培训有兴趣，请完整填写下表并提交
    ——您将有机会免费获得电子工业出版社图书一本。

    有相关问题也可通过以下联系方式咨询
    ①电话咨询：010-88254012；联系人：潘昕
    ②传真：010-88254490
    ③电子邮件：panxin@phei.com.cn