安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部***之外,还应该在网络内部对各种访问进行监控和管理。***检测系统是一种对于边界防御和内部控管都非常有用的工具,也是建设主动防御体系的重要基础之一。对于很多中小企业用户来说,在网络边界部署一些防火墙设备已经无法满足他们的要求了。那么中小企业是否能够应用***检测系统来解决自身的安全需要呢?
中小企业应用***检测系统面临的主要困境在于其仍是一种相对高端的产品。虽然近年来市场上涌现出很多***检测产品,但是相对来说数量仍旧较少,企业只能在一个较小的范围内进行选型。在目前情况下,***检测产品的总体价格还没有下降到适合中小企业投入的程度。而由于***检测的一些高级特性往往需要具有专业技术和经验的人员进行操控,这使得***检测系统的总体实施成本往往超过了中小企业的承受能力。中小企业在安全方面的投入受限加之中小企业缺少专业技术人员,这两点直接限制了***检测系统在中小企业的应用,同时也是中小企业信息安全事务中的需要面对的主要障碍。不过这些限制并不意味着中小企业不能实施***检测,因为只要对***检测的意义和作用有正确的认识,我们还是有不少方法来减少这些限制的影响。在***检测技术发展的历程中开放源代码社区做出了巨大的贡献,同时也形成了大量与***检测技术相关的免费资源。我们除了可以应用一些开源的***检测套件之外,还可以使用很多完成数据捕获、安全审计、访问控制、身份认证工作的免费软件模块。虽然整合这些系统相对于使用商业系统来说要困难一些,但是这提供给我们更多的选择,也使得我们在实施安全项目的时候可以获得更多的灵活性。同时,目前免费***检测系统及安全套件的应用性也有了不小的进步,这也使得选择开源产品成为一条切实可行的道路。下面我们向大家介绍最主要的免费***检测系统Snort以及一些值得考虑的商用***检测系统,希望大家能够借此更好的了解这些系统的特性。
Snort
Snort 是目前最流行的源代码开放的***检测系统之一,可以运行于多种操作系统平台。本质上来讲,Snort是一个基于网络的***检测系统。它捕获和记录在网络上传输的数据包,并通过规则脚本识别其中的可疑行为,以对管理员进行各种报警。Snort有一些基本的工作模式,包括嗅探器、包记录、网络***检测等。在嗅探器模式下Snort仅仅捕获网络上的数据包并将其显示在屏幕等输出设备上;包记录模式可以把Snort获取的数据包记录到存储介质上,并且可以根据捕获的数据量和审计方式选择不同的记录格式;在网络***检测模式下,Snort综合以上模式的工作针对制订的规则对捕获的信息进行分析并采取预定的反应,在此模式下Snort是一个真正完整的***检测系统。花费十几分钟就可以在一台主机上部署一个Snort监控进程,同时制订检测规则和报警机制也是相当简单的。在Snort引擎的基础上,还可以使用很多外围的源代码开放组件组合构建一个具有商业产品功能的***检测系统。例如,可以使用MySQL做为数据库系统,使用PHP完成用户接口等表示层的功能,而SnortALog是一个基于Perl的日志分析工具。目前有不少基于这种形式构建的套件,例如OpenIDS。对于中小企业来说,在Snort引擎的基础上建构自己的***检测系统可以获得很多好处。首先该系统是完全免费的,企业可以节省一份许可证费用。同时在企业规模增长之后也不需要因此增加在***检测系统上的投入,因为目前很多商业***检测系统都是根据用户数计算许可证费用的。其次,由于Snort的源代码是开放给用户的,所以中小企业可以在此基础上建设真正属于自己的安全防御系统。无论是修改还是扩展该系统以及基于该系统进行其它功能的开发,中小企业利用开源系统构建安全体系会随着时间的推移不断带来各种利益。我们在上面已经提过Snort是非常易于使用的,而在扩展了各种外围组件之后,其功能性还将获得更大的提升,成为易于使用和高度可定制的企业级系统。
Snort 是目前最流行的源代码开放的***检测系统之一,可以运行于多种操作系统平台。本质上来讲,Snort是一个基于网络的***检测系统。它捕获和记录在网络上传输的数据包,并通过规则脚本识别其中的可疑行为,以对管理员进行各种报警。Snort有一些基本的工作模式,包括嗅探器、包记录、网络***检测等。在嗅探器模式下Snort仅仅捕获网络上的数据包并将其显示在屏幕等输出设备上;包记录模式可以把Snort获取的数据包记录到存储介质上,并且可以根据捕获的数据量和审计方式选择不同的记录格式;在网络***检测模式下,Snort综合以上模式的工作针对制订的规则对捕获的信息进行分析并采取预定的反应,在此模式下Snort是一个真正完整的***检测系统。花费十几分钟就可以在一台主机上部署一个Snort监控进程,同时制订检测规则和报警机制也是相当简单的。在Snort引擎的基础上,还可以使用很多外围的源代码开放组件组合构建一个具有商业产品功能的***检测系统。例如,可以使用MySQL做为数据库系统,使用PHP完成用户接口等表示层的功能,而SnortALog是一个基于Perl的日志分析工具。目前有不少基于这种形式构建的套件,例如OpenIDS。对于中小企业来说,在Snort引擎的基础上建构自己的***检测系统可以获得很多好处。首先该系统是完全免费的,企业可以节省一份许可证费用。同时在企业规模增长之后也不需要因此增加在***检测系统上的投入,因为目前很多商业***检测系统都是根据用户数计算许可证费用的。其次,由于Snort的源代码是开放给用户的,所以中小企业可以在此基础上建设真正属于自己的安全防御系统。无论是修改还是扩展该系统以及基于该系统进行其它功能的开发,中小企业利用开源系统构建安全体系会随着时间的推移不断带来各种利益。我们在上面已经提过Snort是非常易于使用的,而在扩展了各种外围组件之后,其功能性还将获得更大的提升,成为易于使用和高度可定制的企业级系统。
NFR
这是一种相当流行的商业***检测系统,在安全界获得了不少好评。从技术角度来说,NFR的***检测系统也是一种基于传感器组件的网络***检测系统,并且能够提供相当完善的分析和预测功能。该产品可以运行于多种Class UNIX操作系统之上,并且具有比较容易使用的用户接口。但是对于NFR***检测系统的很多高级特性来说,仍旧只有专家级的用户才能够自如的应用。NFR卓越的能力之一是它的N-Code编程语言,这种语言可以用于定义各种识别模式,以对捕获的各种信息进行过滤。另外,NFR还可以使用其它安全系统中对安全威胁的定义来对自身进行扩充。
这是一种相当流行的商业***检测系统,在安全界获得了不少好评。从技术角度来说,NFR的***检测系统也是一种基于传感器组件的网络***检测系统,并且能够提供相当完善的分析和预测功能。该产品可以运行于多种Class UNIX操作系统之上,并且具有比较容易使用的用户接口。但是对于NFR***检测系统的很多高级特性来说,仍旧只有专家级的用户才能够自如的应用。NFR卓越的能力之一是它的N-Code编程语言,这种语言可以用于定义各种识别模式,以对捕获的各种信息进行过滤。另外,NFR还可以使用其它安全系统中对安全威胁的定义来对自身进行扩充。
eTrust
eTrust***检测目前是CA的eTrust解决方案中一个重要的组成部分。该系统运行于Windows系统下,可以部署大量的嗅探模块以捕获数据,并且eTrust具有一套完善的标志识别机制。如果检测到异常,eTrust***检测系统向用户提供屏幕显示、日志、告警及报表等多种输出形式。该系统还能够生成实时的网络活动在线视图、统计信息及仪表板图像,并提供各种复杂的查询分析功能。对于应用情况相对复杂的企业来说,eTrust是一个值得考虑的选择。另外eTrust***检测系统支持OPSEC标准,这使得该系统可以更好的与一些主流的安全系统进行交互。
eTrust***检测目前是CA的eTrust解决方案中一个重要的组成部分。该系统运行于Windows系统下,可以部署大量的嗅探模块以捕获数据,并且eTrust具有一套完善的标志识别机制。如果检测到异常,eTrust***检测系统向用户提供屏幕显示、日志、告警及报表等多种输出形式。该系统还能够生成实时的网络活动在线视图、统计信息及仪表板图像,并提供各种复杂的查询分析功能。对于应用情况相对复杂的企业来说,eTrust是一个值得考虑的选择。另外eTrust***检测系统支持OPSEC标准,这使得该系统可以更好的与一些主流的安全系统进行交互。
BlackICE
虽然BlackICE***检测软件不象它的防火墙套件那么为大家所熟悉,但是BlackICE防火墙套件只所以受到专业用户的追捧与其集成的***检测技术关系颇深。BlackICE的***检测软件包界面简洁,相当容易使用。这是一种非常相对适合低端用户使用的产品,并且对于一些囊中羞涩的用户来说,BlackICE防火墙套件也可以提供一些基本的网关***检测防御能力。
虽然BlackICE***检测软件不象它的防火墙套件那么为大家所熟悉,但是BlackICE防火墙套件只所以受到专业用户的追捧与其集成的***检测技术关系颇深。BlackICE的***检测软件包界面简洁,相当容易使用。这是一种非常相对适合低端用户使用的产品,并且对于一些囊中羞涩的用户来说,BlackICE防火墙套件也可以提供一些基本的网关***检测防御能力。
转载于:https://blog.51cto.com/ionwing/57119
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
