三级网络安全:从入侵检测到入侵防御

入侵检测系统从计算机网络或系统中的一些关键点收集信息并进行分析，发现是否存在违反安全策略的行为和被攻击的迹象。它不仅可以检测来自外部的入侵，还可以监督内部用户的未授权活动，因此成为继防病毒、防火墙之后又一个广受关注的网络安全设备。这是一种集检测、记录、报警和响应于一体的动态安全技术。从“入侵检测”逐渐发展到“入侵防御”。
当入侵检测系统检测到网络中的攻击或未授权行为时，传统的响应方法是显示消息、形成日志、报警或通过电子邮件通知安全管理员，然后管理员可以手动采取相应的措施来阻止入侵。这无疑给安全管理增加了很多工作量和难度，也大大增加了安全维护的成本。因此，系统需要具有更主动响应行为的入侵检测系统。现在的入侵检测系统可以通过发送重置包或执行用户编写的程序来自动切断危险连接。
此外，入侵检测系统作为整体安全技术的一个组成部分，应该与其他安全组件一起建立一个交互式响应机制。例如，防火墙是限制内部和外部网络之间相互访问的网关，其配置的过滤规则阻止未经授权的用户访问企业网络。因此，当入侵检测系统发现攻击时，它可以自动修改防火墙的安全策略来阻止可疑的网络通信。这也是入侵检测系统与防火墙的联系越来越紧密的原因之一。
在入侵防御系统中，如何降低检测系统的误报率非常关键。在传统的入侵检测系统中，虚警对于安全管理员来说是一件很麻烦的事情，大量的虚警可能会淹没真正的攻击，让安全管理员无法应对。在建立一个联动的综合安全防御系统时，入侵检测系统可以自动调整其他安全组件的策略，防止进一步的攻击。这时误报带来的负面影响可能更大——因为误报触发策略调整后，本该允许的访问无法访问，形成了新的DoS形式。
同时，先进的入侵防御系统还必须是全方位的安全管理。一方面要集中管理各种设备的安全事件，对数据进行标准化、集中化、关联化、智能化分析，降低误报率，预测威胁趋势；另一方面，结合漏洞扫描，需要提前确定系统中是否存在已知的漏洞，做到“防患于未然”，建立主动的，而不仅仅是反应式的安全防御体系。
上海广电股份有限公司(www.svanetworks.com)作为专业的网络安全设备制造商，一直致力于网络安全技术的研究和产品开发，提供一系列一流的网络安全设备，针对不同用户需求制定量身定制的安全方案和入侵防御机制，有效保护组织免受外部和内部攻击，帮助企业从容应对各种入侵和非授权行为。