文/静

　　入侵检测(IDS)产品在近两年得到了长足的发展，甚至被看成是继杀毒软件和防火墙之后安全领域的第三主战场。其在整体安全市场中所占份额已仅次于防火墙和杀毒，居于第三位，据IDC的报告，在2000年中国安全市场规模中，入侵检测与评估软件占了19.0%的份额。

　　厂商方面，从1999年前后，国外一些软件商开始将其入侵检测产品引入到国内，如CA、NAI、Axent、ISS等，如今它们占据着市场的大部分份额；在国内公司中，冠群金辰公司入侵检测产品eTrust Intrusion Detection充分发挥了CA的领先技术与自身在应用方面的双重优势，已经在与国外巨头的竞争中显示出了雄厚的实力。

　　再从用户方面来说，受到外界安全环境日益复杂、为数众多的遭受内部攻击案例以及用户对网络的越来越依赖，传统的防杀毒软件加上防火墙的安全模式已经不能满足用户对安全的需求，而IDS无疑为这些企业提供了第二道防线，能够保证即使遭受来自内部的攻击或者攻击者越过防火墙的情况下，仍然享有很高的安全保障。

　　那么，用户应该如何选择IDS呢？我们以为，应该从基本功能和应用环境两个方面进行考虑：

　　基本功能因素

　　1、安全监控、防御功能

　　作为一个基于网络的实时安全监控系统，IDS应对来自内部和外部的非法入侵行为(包括人工入侵和病毒、蠕虫方式的自动入侵)做到及时响应、告警和记录日志，并可采取一定的防御和反入侵措施。

　　2、网络使用情况和管理

　　如何对网络的访问进行管理，是确保网络安全的一项最基本的条件，具体来说又包括：支持管理员权限分割；允许对被保护资源定义多种存取模式；对资源的存取权限可结合服务类型、时间、用户或者计算机等多项因素加以限制；具有完整的安全审计功能，支持对系统资源的动态或静态审计；具有分类的URL库，能够拒绝对非法、不良网站的访问；拒绝过大邮件的发送，避免造成网络拥塞；检测存取违规事件，并自动报警或生成事件消息等。

　　3、报表和日志功能

　　报表和日志管理是进行入侵检测的重要依据，也是评价IDS的一项重要标准。完整的报表和日志管理包括：支持报表的自动生成功能，并可以发给指定的人员；能够支持多种格式的文本，包括文本文件、NOTES文件、RTF文件、超文本文件、Excel文件；对网络中可疑的网络活动的统计分析；对网络入侵事件的统计分析；根据不同的用户、计算机、访问的内容、访问的多少进行统计和分析；根据流量的多少，对基本服务的服务器端和客户机端进行统计分析等等。

　　4、管理和使用

　　一个理想的IDS还应该易于使用，并且提供强大的管理功能，包括可以在广域网络上远程管理，支持拨号方式管理；在控制端和引擎端之间的通讯要具有保密性；要对某个引擎进行管理必须提供用户名和密码；具有全部汉化的界面和在线帮助以及使用手册。

　　5、报警方式

　　IDS的最重要的功能就是对安全状况随时进行监控，并对检测到的入侵状况及时进行警告，因此，理想的IDS还必须可以通过电子邮件、呼机、广播、声音、传真等告警，并且支持用户自定义告警方式，以便客户端发现问题，可以在控制端实时得到报警。

　　应用环境因素

　　但是，上述五个方面还只是一个IDS能否真正发挥理想的入侵检测功能的基础，仅凭它们还不足以选出最适用的IDS，要使IDS真正用起来，还必须考虑到具体的安全环境；一个同样类型、相同配置的IDS在不同类型的网络中达到的效果往往是截然不同的。比如说IDS对不良网站过滤功能针对中小企业办公网和学校是非常实用的，但是如果将这个IDS放置在大型企业的服务器网段中进行监控的话，这个功能就是多余的甚至有降低效率的负面影响。另外，如果将仅仅能够支持百兆网络处理能力的IDS插上千兆网卡就宣称能够支持千兆网络的入侵检测，同样也是对用户不负责任的态度。

　　所以，是否针对不同网络类型的用户提供不同类型的IDS解决方案，也应成为评价IDS的一个重要标准，有时可能还是最重要的标准；因为只有这样才能使IDS的各项功能真正发挥到极至。例如，在国内IDS领域中处于领先地位冠群金辰eTrust Intrusion Detection就针对不同的用户提供了不同的解决方案，目前已包括中小企业网络监控器、教育版入侵检测系统、企业级入侵检测系统、高速/千兆入侵检测系统；另外，冠群金辰还将针对关键行业比如金融、证券行业的用户提供关键业务IDS，就是能够对业务过程中的可疑状况进行分析和响应的全新解决方案；特别是在千兆网检测方面，冠群金辰与美国Top Layer网络公司合作，充分利用Top Layer支持千兆位高速应用环境的硬件产品所特有的负载均衡功能，结合冠群金辰IDS的深层次的入侵分析能力，提供了一个完备的高速网络实时入侵检测的解决方案。

　　可见，只有将基本功能和应用环境两方面的因素结合起来考虑，方能为企业构筑起最坚固的第二道安全防线。