入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)行為分析有何區(qū)別

正如當(dāng)前人們所看到的那樣，越來(lái)越多的廠商宣傳自己的產(chǎn)品擁有的安全功能，使用了許多縮寫(xiě)詞，如IDS(入侵檢測(cè)系統(tǒng))、NBA(網(wǎng)絡(luò)行為分析)、IPS(入侵防御系統(tǒng))以及防火墻等許多其它功能。
    但是人們完全困惑了，究竟這些不同名稱(chēng)下的網(wǎng)絡(luò)及安全產(chǎn)品有什么實(shí)際功效，其間又有哪些區(qū)別呢?
    為了更好地理解入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)行為分析的區(qū)別， Plixer公司共同創(chuàng)始人和首席技術(shù)官M(fèi)arc Bilodeau就下列八個(gè)問(wèn)題以及其它一些問(wèn)題給出了專(zhuān)業(yè)解釋?zhuān)?BR>    1.什么是入侵檢測(cè)系統(tǒng)(IDS)?
    入侵檢測(cè)系統(tǒng)一般在互聯(lián)網(wǎng)連接上探測(cè)數(shù)據(jù)包。入侵檢測(cè)系統(tǒng)用于檢測(cè)試圖偷偷進(jìn)入網(wǎng)絡(luò)和破壞一個(gè)計(jì)算機(jī)系統(tǒng)的安全和信任的惡意行為。這些惡意行為包括對(duì)有安全漏洞的服務(wù)實(shí)施的網(wǎng)絡(luò)攻擊、對(duì)應(yīng)用程序?qū)嵤┑臄?shù)據(jù)驅(qū)動(dòng)的攻擊、升級(jí)權(quán)限、非授權(quán)登錄和訪問(wèn)敏感文件等基于主機(jī)的攻擊以及惡意軟件(病毒、木馬和蠕蟲(chóng))。一旦進(jìn)入網(wǎng)絡(luò)，病毒或者感染在發(fā)動(dòng)惡意攻擊之前能夠在網(wǎng)絡(luò)上活動(dòng)幾個(gè)星期。
    2.定期更新入侵檢測(cè)系統(tǒng)的惡意軟件特征是不是也不能保持威脅庫(kù)處于最新?tīng)顟B(tài)?
    是的。病毒特征更新是有幫助的。但是，由于黑客不斷發(fā)展自己骯臟的技術(shù)以突破最新的安全防御，企業(yè)永遠(yuǎn)不是完全免疫的。我們可以把病毒特征更新比作人類(lèi)為了避免病毒感染每年向身體注射瀏覽疫苗。然而，流感疫苗永遠(yuǎn)不能阻止所有的病毒。
    3.什么是網(wǎng)絡(luò)行為分析?
    網(wǎng)絡(luò)行為分析是識(shí)別日常網(wǎng)絡(luò)通訊流量中異常通訊方式的能力。簡(jiǎn)單地說(shuō)，這是網(wǎng)絡(luò)行業(yè)超越簡(jiǎn)單地阻止過(guò)量的網(wǎng)絡(luò)通訊設(shè)置試圖識(shí)別網(wǎng)絡(luò)中的異常行為。觀察到的最多的網(wǎng)絡(luò)安全突破之一是稱(chēng)作拒絕服務(wù)攻擊的異常通訊方式。拒絕服務(wù)攻擊是對(duì)互聯(lián)網(wǎng)服務(wù)提供商和大型網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重大安全威脅。
    4.什么是入侵防御系統(tǒng)(IPS)?入侵防御系統(tǒng)與入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)行為分析有什么區(qū)別?
    入侵防御系統(tǒng)一般與入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)行為分析系統(tǒng)一起工作。入侵防御系統(tǒng)能夠丟棄攻擊的數(shù)據(jù)包，同時(shí)允許其它通訊流量繼續(xù)通過(guò)。這項(xiàng)工作能夠在交換機(jī)上很好地完成。交換機(jī)也進(jìn)行網(wǎng)絡(luò)行為分析。
    Bilodeau指出，思科和惠普分別支持NetFlow和sFlow。但是，他們?cè)跊](méi)有NetFlow和sFlow功能的交換機(jī)上實(shí)施網(wǎng)絡(luò)行為分析。
    5.配置網(wǎng)絡(luò)行為分析功能的系統(tǒng)如何幫助企業(yè)現(xiàn)有的入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)?
    Bilodeau說(shuō)，按照我的意見(jiàn)，網(wǎng)絡(luò)行為分析系統(tǒng)可以看作是比入侵檢測(cè)系統(tǒng)的前瞻性稍差一些的系統(tǒng)，其重點(diǎn)是互聯(lián)網(wǎng)通訊。它可以安裝在一個(gè)連接上并且像入侵檢測(cè)系統(tǒng)一樣檢查數(shù)據(jù)包，或者利用NetFlow技術(shù)。我說(shuō)前瞻性稍差一些是因?yàn)榫W(wǎng)絡(luò)行為分析主要是識(shí)別已經(jīng)在網(wǎng)絡(luò)上發(fā)生的問(wèn)題(如網(wǎng)絡(luò)掃描或者正在進(jìn)行的拒絕服務(wù)攻擊)。網(wǎng)絡(luò)行為分析試圖捕捉入侵檢測(cè)系統(tǒng)或者殺毒軟件漏掉的威脅。網(wǎng)絡(luò)行為分析設(shè)備解決偏離標(biāo)準(zhǔn)行為方式的網(wǎng)絡(luò)通訊的異常行為。
    6.那么，你需要什么：入侵檢測(cè)系統(tǒng)還是網(wǎng)絡(luò)行為分析?
    如果你擁有一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)并且想知道是否應(yīng)該添加一個(gè)網(wǎng)絡(luò)行為分析系統(tǒng)，我的回答是：網(wǎng)絡(luò)行為分析提供的額外的安全監(jiān)視能夠讓企業(yè)受益嗎?你像大多數(shù)企業(yè)一樣擔(dān)心內(nèi)部威脅嗎?
    7.你能從哪里得到網(wǎng)絡(luò)行為分析產(chǎn)品，這種產(chǎn)品多少錢(qián)?
    網(wǎng)絡(luò)行為分析設(shè)備的價(jià)格是Lancope和Mazu等新興企業(yè)生產(chǎn)售價(jià)10萬(wàn)美元產(chǎn)品，價(jià)格較低的有Plixer International生產(chǎn)的6萬(wàn)美元的產(chǎn)品。如果你有興趣使用NetFlow技術(shù)編寫(xiě)自己的網(wǎng)絡(luò)行為分析產(chǎn)品，我建議你閱讀Yiming Gong的一篇文章。在閱讀那篇文章和認(rèn)識(shí)到NetFlow的信息有限之后，你很難認(rèn)為網(wǎng)絡(luò)行為分析設(shè)備10萬(wàn)美元的價(jià)格標(biāo)簽是合理的。
    8.網(wǎng)絡(luò)行為分析和分析工具的價(jià)格為什么有這樣大的差距?
    Bilodeau說(shuō)，我不知道為什么會(huì)有這樣大的價(jià)格差距。但是，我知道一些風(fēng)險(xiǎn)投資公司很早就進(jìn)入了網(wǎng)絡(luò)行為分析市場(chǎng)。如果歷史能夠預(yù)測(cè)未來(lái)的話，隨著更多的企業(yè)進(jìn)入這個(gè)市場(chǎng)，網(wǎng)絡(luò)行為分析市場(chǎng)會(huì)發(fā)生變化，設(shè)備價(jià)格將下降。