为用户打造固若金汤的网络安全系统

　　 

曾宇

    凭借着对网络安全行业的深刻理解，曙光公司推出了曙光GodEye-HIDS主机入侵检测系统。

    根据采集数据源的不同，IDS可分为主机型IDS（Host-basedIDS）和网络型IDS（Network-basedIDS）两种。IDS作为主机型IDS产品，由于部署在被保护的主机上，所以他具备了其它安全措施所无法比拟的先天优势，HIDS从主机／服务器上采集数据，包括操作系统日志、系统进程、文件访问和注册表访问等信息；NIDS则是直接从网络中采集原始的数据包，进行检测。HIDS的检测引擎称为“主机代理”；NIDS的检测引擎称为“网络引擎”。HIDS的主机代理安装在被保护的主机／服务器上，不同的操作系统平台需要各自的主机代理；NIDS的网络引擎放置在需要保护的网段内，不占用网络资源，可以监测整个网段。

    HIDS和NIDS各具特点，都能发现对方无法检测到的一些入侵行为，可互为补充。发展的趋势是二者逐渐互相融合。

    从安全防护的原理上来看，离被防护信息点越近，保护的作用就会越有效。由于部署在被保护主机上，HIDS从空间上满足了网络安全的先决条件;同时，由于监听的是用户的整个访问行为，HIDS可以有效利用操作系统本身提供的功能，结合异常分析，准确报告攻击行为，在时间上保证了网络安全进程实现的过程。因此，HIDS在网络安全防护时空上的优势使之成为网络安全体系的最后防线。

    另外，从产品的角度来看，相比较而言，主机型IDS从研发难度、技术支持深度等方面都比较高，因此对厂商提出了更高的要求。目前业界有重网络型轻主机型的现象，有部分原因就在于主机型产品的难度，只有在技术、售前、售后都具备相当实力的厂商才能做好主机型IDS产品。曙光的这套主机型IDS具备防范内部安全风险、看守重要信息文件、监视核心服务进程、有效防止木马后门、主动采取防护措施等六大功能特色可以很好地补充防火墙和网络型IDS的安全盲点。六大功能就好比为服务器安装上了24小时自动工作的闭路监视系统和专用保安系统，无论病毒来自内部还是外部，都可以及时把他抓住。

    与其他同类产品相比，曙光GodEye-HIDS主机入侵检测系统在功能设计和技术实现两方面具备了差异点。首先，在功能上除了主机型IDS产品所具备的文件完整性检测和日志分析以外，曙光GodEye-HIDS又实现了服务进程监测、系统资源监测、和用户操作监测三大监测功能，大大提高了主机型IDS的检测能力；同时，他采用了从操作系统内核获取信息的技术，进行系统调用截获，从系统调用的情况来进行操作的安全检测，这种技术拓展了主机型IDS的信息来源，增强了检测的实时性和准确性，是主机型IDS的技术发展趋势。另外，作为增强型的IDS产品，曙光GodEye-HIDS还完全实现了公安部对增强型产品的一系列附加技术要求，包括：系统的分级审计、数据加密能力、关联检测、数据挖掘设计、以及对检测信息的概率统计等等。同时其“主机加密技术”也使其在自身安全方面得到了很好的保证。

原文转自：http://www.ltesting.net