入侵检测系统(IDS) vs 网络分析

网络分析、入侵检测系统(IDS)都属于网络旁路接入模式,不改变网络结构,通常是通过端口镜像来捕获流经(出入)该网络的所有数据包,然后对这些数据包 解码、统计、分析,是网络管理中必不可少的管理系统。同时他们都有还原协议的功能,把用户发的EMAIL、浏览的网页恢复为完整的文件保存起来,以备查 案。

虽然网络分析与IDS在数据的获取原理是相同的,但它们对数据的处理和应用却是区别很大,通过下面的比较,有利于管理者掌握两类产品的不同用途。

对比网络分析系统入侵检测系统(IDS)
功能侧重不同网络的故障,性能,安全
捕捉并分析网络数据,监测链路运行状态且从底层找到网络故障、性能以及安全方面问题的根源。侧重于故障、性能、安全三方面。
网络入侵行为
捕捉并分析网络数据,根据特征库,行为库进行匹配是否是网络入侵行为。主要侧重于安全。
工作原理不同 网络分析技术
网络旁路接入的,分析网络的所有数据包。 对数据包进行字段解码,提供多视角的数据分析和统计结果。这些包括:流量分析、会话分析、矩阵连接分析、利用率分析、网络应用的日志分析、网络故障、网络错误、木马和病毒攻击等。
特征库匹配技术
网络旁路接入的,捕获网络的所有数据包。 对网络数据进行特征库的规则匹配,向管理者提供规则库中的攻击行为。
提供数据提供详细的数据依据
通过对网络里的数据分析,提供详细而全面的数据依据,为管理者在判断问题、制定策略、规划网络方面,提供真实可靠的依据。
提供数据依据较少
黑盒操作,将网络数据与自身的特征库进行匹配,判断是否是入侵,提供的数据较少。
新的网络攻击防范新的病毒和攻击
并不依赖于特征库或病毒库。 针对于网络异常现象发现问题,对新的病毒或病毒变种,以及新的攻击或入侵,有较强的发现能力。
只能检测已知的攻击模式
这是IDS的通病,对攻击的发现,要依赖于自身的特征库。即使最好的IDS,对新的攻击的识别率也是非常低的。
智能、全面、灵活全面实用、适用于各种网络
针对于故障、安全、性能方面。 提示现有问题、提供相关数据、列举问题产生原因,提供专家建议。 针对不同的网络,可调节阈值。 数据关联,可处理问题的相关性。 可定位故障源的IP或MAC地址。
黑盒子操作,不灵活
能将问题推理过程和问题解答相分离。 缺乏处理序列数据的能力,不提供问题相关数据。 能检测已知攻击模式;无法处理不确定性。 规则关联较多,规则库的维护和更新能力较困难。
新的网络攻击全面实用、适用于各种网络
除了能让管理者对网络安全、故障、性能有很好解决之外,还可以很好的了解网络的使用情况,能很好的与其它的网管工具配合使用,大大加强网络管理的有效性。 能处理简单与复杂问题;改善网络性能与安全防御能力;有利于管理者的经验和知识的积累。
局限、难适应网络变化
网络应用更新很快,如果入侵特征库不能很好的更新,IDS很难跟上网络应用的变化。 黑盒操作,不提供详细的数据、IDS很难为管理者提供可靠的数据依据。 IDS不走向IPS/IDP,那基本上是摆设,作用不大。 仅仅局限于入侵方面的安全性问题。


总结:

总的来讲,IDS的设计是人类的美好的愿望,即有限的活动的脑细胞来处理日益发展和变化的安全攻击,人类还很难做到如此智能化,效果可想而知。如果IDS不走向IPS/IDP,那基本上是摆设,作用不大。IDS/IPS主要侧重于安全,内建了很多安全的规则。

网络分析技术,则是将所有网络行为或数据透明化,有了全面可靠的数据,通过智力、经验和工具的配合,完全可以很容易解决各类复杂、抽象的问题。网络分析主要侧重于网络的异常,内建的主要是通讯方面的规则和对异常现象的分析,是对网络管理更为全面实用的技术。

尽管如此,IDS对于已知的攻击的防范能力还是非常好的。对于一个完善的网络管理,网络分析,IDS产品,网络杀毒产品,都应该具备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值