UTM/IDS/IPS

通过安全网关（被动防御体系）与入侵检测系统（主动防御体系）的互动，实现"主动防御和被动防御"的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与安全网关的互动，自动修改策略设置上的漏洞不足，阻挡攻击的继续进入。

在购买入侵检测系统的过程中，一个决策的关键点通常是入侵检测系统采用签名还是异常检测引擎。最初厂商了解两种方法的优点并且把这两种方法都集成到入侵检测系统中。理解签名和异常检测这两种方法的优点和弱点揭示了它们是如何相互补充的。

通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于网络的IDS适应能力强。有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基于网络的IDS为例，介绍典型的IDS开发思路。

关于入侵检测的 “定义 ”已有数种，其中ICSA入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。

最简单的方案是显而易见的，通过统计IDS/IPS所能检测的利用漏洞攻击种数来进行比较。目前多数主流的IDS/IPS产品都提供了CVE名的支持，每个CVE名对应一个独立的安全漏洞，虽然CVE名字表不可能包含所有的已知安全漏洞，但至少包括了其中的大多数重要条目。因此通过统计产品相关的CVE条目数量可以大致了解IDS/IPS的漏洞攻击检测覆盖面。我们最原始的评价指标可以是产品相关的CVE漏洞条目个数。

提到网络安全，很多人首先想到的是防火墙。配置适当的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统(IDS)应运而生。随着网络的发展，IDS技术也在不断更新和变化。

对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或教本。

CERT来自成立于Carnegie Mellon University的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的CERT(计算机安全事件处理队伍)。同CIRT(计算机事件响应组)相区别，CERT侧重于紧急事件的快速反应，而不是长期监视。

警报是IDS向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵，IDS会以各种方式向分析员发出警报。如果控制台在本地，IDS警报通常会显示在监视器上。IDS还可以通过声音报警(但在繁忙的IDS上，建议关闭声音)。警报还可以通过厂商的通信手段发送到远程控制台，除此之外，还有利用SNMP协议(安全性有待考虑)、email、SMS/Pager或者这几种方式的组合进行报警。

入侵检测系统(Intrusion Detection System，IDS)以及它们的近亲---入侵防范系统(Intrusion Prevention System，IPS)是网络安全的入侵警报器。我们知道，防火墙只能阻止通信量，而一个IDS能够检测出恶意通信量(如果存在恶意通信的话)，然后向系统管理员或者IT安全人员发出警报。而IPS则不仅仅能察觉恶意入侵，还能试图对其修复。

天阗入侵检测与管理系统是启明星辰自主研发的入侵检测类安全产品，其主要作用是帮助用户了解网络中的应用状况，及时发现并记录各种安全事件（网络攻击、应用行为等），并提供针对这些事件的处理措施。

即便在最乐观的情况下，安全产品和蠕虫病毒也难分胜负。道高一尺，魔高一丈。网络蠕虫病毒繁殖得如此之快，以至于防毒软件紧追慢赶，却难以出招制胜。在信息安全领域，这个问题如火如荼。

当年，Gartner预测说：“IDS已死。”时至今日，IDS正在走一条缓慢的翻身之路。

随着网络安全风险的不断提高，防火墙已经不能满足人们对网络安全的需求。 作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。

光大银行国内第一家国有控股并有国际金融组织参股的全国性股份制商业银行，伴随着中国经济和金融业的发展进程，光大银行不断改革创新、锐意进取，始终把自身发展与国民经济的增长紧密结合，在为社会提供优质金融服务的同时，取得了良好的经营业绩，逐步形成了与现代商业银行相适应的多元化股权结构、日益完善的公司治理与经营机制、比较先进的科技支持系统、素质较高的员工队伍、布局合理的机构网络、范围广泛的同业合作等优势。

目前，VFPR方法已经成功应用到启明星辰的天阗IDS产品中，测试结果表明，VFPR方法的实时性和准确率高，算法开销较小，在不影响现有IDS检测引擎性能的情况下，有效提高了天阗IDS产品的检测准确率。

在频繁的网络入侵今天，防范的最好的办法就是综合使用防火墙、IDS和IPS。

网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御黑客攻击的有效方式。尽管入侵检测技术还在不断完善发展之中，但是入侵检测产品的市场已经越来越大，真正掀起了网络安全的第三股热潮。

华为3Com采用专用的硬件加速卡来解决这个问题。基于专门的内容查找芯片设计的硬件加速卡在系统中与CPU、网络处理器协同工作，在需要对报文进行内容搜索的情况下，为CPU和网络处理器卸载负担，使得CPU和网络处理器可以专注于报文处理和逻辑检测，从而将内容搜索对系统效率的影响降至最低。目前华为3Com设计的硬件加速卡，可以在千兆的环境下线速地处理流量。

IDS和IPS(IDP)满足的是用户不同的安全需求。两种技术在相当长的时间里，会和防火墙技术一起共存，并在用户的信息安全保障体系中担当不同的角色，并协同工作。