兵来将挡 堵住黑客非法入侵的11点原则(1)

中华网科技 http://tech.china.com 2005-12-01 09:47:46

【进入BBS】【进入聊天室】【 推荐给朋友 】【浏览字号：大 中 小】【关闭窗口】

　　1.产品的攻击检测数量为多少？是否支持升级？
　　
　　IDS的主要指标是它能发现的入侵方式的数量，几乎每个星期都有新的漏洞和攻击方法出现，产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级，并可通过互联网或下载升级包在本地升级。
　　
　　2.对于网络入侵检测系统，最大可处理流量（PPS）是多少？
　　
　　首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。
　　
　　3.产品容易被攻击者躲避吗？
　　
　　有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这一点。
　　
　　4.能否自定义异常事件？
　　
　　IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品，必须提供灵活的用户自定义策略能力，包括对服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。
　　
　　5.产品系统结构是否合理？
　　
　　一个成熟的产品，必须是集成了基于百兆网络、基于千兆网络、基于主机的三种技术和系统。
　　
　　传统的IDS大多是两层结构，即“控制台→探测器”结构，一些先进的IDS产品开始采用三层架构进行部署，即“控制台→事件收集器＋安全数据库→探测器”结构，对于大型网络来说，三层结构更加易于实现分布部署和集中管理，从而提高安全决策的集中性。如果没有远程管理能力，对于大型网络基本不具备可用性。
　　
　　6.产品的误报和漏报率如何？
　　
　　有些IDS系统经常发出许多假警，假警报常常掩盖了真攻击。这些产品在假警报重负下一再崩溃，而当真正攻击出现时，有些IDS产品不能捕获攻击，而另一些IDS产品的报告混杂在假警报中，很容易被错过。过分复杂的界面使关掉假警报非常困难，几乎所有IDS产品在默认设置状态下都会产生非常多的假警报，给用户带来许多麻烦。

首页 上页 | 1 | 2 | 下页 尾页  共 2 页