IDS防火墙无法发现的威胁,入侵检测系统善于捕获已知的显式恶意攻击。而一些专家会说,一个正确定义的ids可以捕获任何安全威胁,包括事实上最难发现和预防的滥用事件。例如,如果外部黑客使用社会工程技术获得CEO密码,许多入侵检测系统将不会注意到。如果站点管理员无意中向世界公共目录提供机密文件,ids将不会注意到。如果攻击者使用默认密码管理帐户,则应在系统安装后更改账户,而入侵检测系统很少注意到。如果黑客进入网络并复制秘密文件,id也很难被注意到。这并不是说ids不能用来检测前面提到的每一个错误事件,但是它们比直接攻击更难检测。攻击者绕过ids的最有效方法是在许多层(第二、第三和第七层)中加密数据。例如,使用openssh或ssl可以加密大多数数据,而使用ipsec可以在传输过程中加密通信量。
IDS发展历程,第一代ids专注于精确的攻击检测。第二代ids通过后台可用的选项数组检测攻击,并致力于简化管理员操作。它们提供直观的最终用户界面、入侵防范、集中式设备管理、事件关联和数据分析。第二代ids不仅检测攻击,而且对攻击进行排序、块,并试图从其中寻找尽可能多的值,除了检测。有经验的ids系统管理员知道ids的一半成功或失败是由耗时、复杂和技术性的工作组成的。抓住正在进行攻击的黑客总是令人兴奋的,因为它是窥视者,所以第一次实现者经常花费大量时间学习和实现检测模式。尽管他们这样做,但他们往往做得更少或忽略设置管理功能、配置数据库和打印报告。因为他们没有事先的计划,所以很快就要打开他们的ids了。
为了增加您成功部署ids的机会,请记住,需要一个小时来规划和配置日志、报告和分析工具找到检测特性。类型和测试模型id的选择取决于要保护的资产,而ids可以保护主机或网络。所有入侵检测系统都遵循两个入侵检测模型异常(也称为配置文件、行为、启发式或统计)检测或签名(基于知识的)检测,最后一点提醒大家,毕竟软件和人工服务有差距,最好还是找网站安全公司来处理网站被攻击的问题。
