HIDS、NIDS哪一個更好？

　　與基于主機的IDS（Host Intrusion Detection Systems，HIDS）相比，基于網(wǎng)絡的IDS（Network Intrusion Detection Systems，NIDS）最大的特點在于不需要改變服務器等主機的配置。由于它不需在業(yè)務系統(tǒng)的主機中安裝額外的軟件，不會影響這些機器的CPU、I/O與磁盤等資源的使用，也不會影響業(yè)務系統(tǒng)的性能。另外，NIDS不是系統(tǒng)中的關鍵路徑，即使發(fā)生故障也不會影響正常業(yè)務的運行。因此，部署一個NIDS，比HIDS的風險與成本相對較低。 　　

　　新一代的NIDS將如何突破局限，實現(xiàn)全局的預警？筆者從賽門鐵克最新推出的NIDS產品ManHunt來看，它具備如下特征： 　　

　　基于策略的預防性反應。NIDS超越了被動的事件識別和告警功能，為網(wǎng)絡提供積極的防護。ManHunt通過被稱為異常協(xié)議檢測的技術來分析網(wǎng)絡流，以此來識別新型和未知攻擊。異常協(xié)議檢測在檢測大多數(shù)類型的攻擊時不要求事先特征，甚至在發(fā)布特征前也允許ManHunt檢測和識別zero-day攻擊。 　　

　　實時事件關聯(lián)和分析。NIDS可以利用一流的關聯(lián)和分析引擎來過濾錯誤數(shù)據(jù)，只提取相關信息，能夠感知威脅，而不會發(fā)生數(shù)據(jù)過載。實時事件集中、關聯(lián)和分析使ManHunt能夠通過跨節(jié)點的分析來收集整個網(wǎng)絡的信息，確定威脅趨勢，在威脅事件發(fā)生時快速識別它們。ManHunt可在一個ManHunt節(jié)點上同時監(jiān)控4個千兆以太網(wǎng)或12個快速以太網(wǎng)接口，對高達2Gbps的高速、多個千兆網(wǎng)段檢測、實時威脅分析。 　　

　　全面的數(shù)據(jù)包捕獲和集成數(shù)據(jù)包過濾。為了有效地分析和確定攻擊特征，全面記錄惡意數(shù)據(jù)包是關鍵。通過這種思想，ManHunt可以根據(jù)每個接口來配置，以便當檢查到異常或特征事件時，捕獲整個數(shù)據(jù)包。 　　

　　此外,NIDS自身的特點決定了能夠與其它產品實現(xiàn)集成，更能體現(xiàn)全面保護。ManHunt提供了Smart Agent模塊，能夠收集整個企業(yè)的多源事件，有助于各公司擴展其安全性措施，并增強對他們現(xiàn)有安全性資產的威脅檢查價值——消除了與部署傳統(tǒng)IDS產品相關的擴展性和成本問題。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]