面对IDS的不足,我们该如何应对呢?换个角度去思考这个问题,可以看到,各种有关网络安全的黑客和病毒都是依赖网络平台进行,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全,网络设备与IDS设备联动思想就应此而产生。
IDS与网络交换设备联动是指,交换机在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,并发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确端口的关闭和断开。
这种智能交换机主要特点应该是能支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能,同时具备线速交换、稳定商用等特性。
港湾网络的FlexHammer5010、礖ammer3550等设备和IDS联动,与传统的IDS技术相比,实现了四点革命性的突破。
降低IDS误报漏报率: 过高的误报漏报使IDS成为“网络中最大的安全隐患”,其本质原因在于它各种检测机制过于简单。
FlexHammer5010具有限制每个端口TCP/IP连接数目的功能,在IDS系统的前沿设置一道硬件屏障,降低IDS在异常检测中由于阈值设置不当而带来的误报漏报。FlexHammer5010能主动丢弃超过极限值的非正常IP分片和异常TCP分段,降低IDS的误报率。Flex Hammer5010具备强制流分类的处理能力,通过与IDS的配合,完善IDS在协议分析方面的能力,因为在交换机上增加协议分析功能相对在IDS上增加类似功能成本要低很多,因此该功能的提供降低了用户在安全设备方面的投资。
主动防御: FlexHammer5010可主动上报各种数据特征和流量特征给IDS设备,IDS设备就可以依据这些数据记录全网的正常流量特征,通过一段时间学习,IDS可以掌握每个端口正常数据流特征。以后当数据流进入网络时,可将正常的网络数据流特征与每个端口的数据流特征进行比较检测,非正常数据流都不能给予通过,达到主动防御的效果。而这种正常数据流的特征是相对固定和少量的,不必做频繁的升级和特征更新,保证了网络安全的特征。
准确事件定位和响应功能: 传统IDS系统发现故障却无法准确定位和有效处理,这对于网络维护人员来说简直是噩梦。FlexHammer5010具备多重网络标识的绑定和端口反查功能,防止网络欺骗行为。港湾网络礖ammer3550接入层交换机上可对任何IDS设备开放网络管理方面的指令,每一个接入层的礖ammer3550交换机都可听从入侵检测系统的关闭端口等指令。
优化IDS性能: 当IDS的性能成为网络安全中最短的那块木板时,值得考虑的解决方案应该是采用分布式、专业化的IDS。FlexHammer5010通过启用强制流分类可以有选择性地屏蔽下层数据,净化发送到IDS的数据报文,比如某网络中只关心WWW数据的安全,那么可以选择采购更便宜更专业的IDS系统,只做WWW数据的检测,那么Flex Hammer5010此时就发挥数据净化器的作用,保证一个低成本的IDS系统能准确无误地完成专业数据的检测工作。