新一代的NIDS将如何突破局限,实现全局的预警?笔者从赛门铁克最新推出的NIDS产品ManHunt来看,它具备如下特征: 基于策略的预防性反应。NIDS超越了被动的事件识别和告警功能,为网络提供积极的防护。ManHunt通过被称为异常协议检测的技术来分析网络流,以此来识别新型和未知攻击。异常协议检测在检测大多数类型的攻击时不要求事先特征,甚至在发布特征前也允许ManHunt检测和识别zero-day攻击。 实时事件关联和分析。NIDS可以利用一流的关联和分析引擎来过滤错误数据,只提取相关信息,能够感知威胁,而不会发生数据过载。实时事件集中、关联和分析使ManHunt能够通过跨节点的分析来收集整个网络的信息,确定威胁趋势,在威胁事件发生时快速识别它们。ManHunt可在一个ManHunt节点上同时监控4个千兆以太网或12个快速以太网接口,对高达2Gbps的高速、多个千兆网段检测、实时威胁分析。 全面的数据包捕获和集成数据包过滤。为了有效地分析和确定攻击特征,全面记录恶意数据包是关键。通过这种思想,ManHunt可以根据每个接口来配置,以便当检查到异常或特征事件时,捕获整个数据包。 此外,NIDS自身的特点决定了能够与其它产品实现集成,更能体现全面保护。ManHunt提供了Smart Agent模块,能够收集整个企业的多源事件,有助于各公司扩展其安全性措施,并增强对他们现有安全性资产的威胁检查价值——消除了与部署传统IDS产品相关的扩展性和成本问题。
HIDS、NIDS哪一个更好
与基于主机的IDS(Host Intrusion Detection Systems,HIDS)相比,基于网络的IDS(Network Intrusion Detection Systems,NIDS)最大的特点在于不需要改变服务器等主机的配置。
由于它不需在业务系统的主机中安装额外的软件,不会影响这些机器的CPU、I/O与磁盘等资源的使用,也不会影响业务系统的性能。另外,NIDS不是系统中的关键路径,即使发生故障也不会影响正常业务的运行。因此,部署一个NIDS,比HIDS的风险与成本相对较低。