1、入侵检测系统(IDS) vs 网络分析网络分析、入侵检测系统(IDS)都属于网络旁路接入模式,不改变网络结构,通常是通过端口镜像来捕获流经(出入)该网络的所有数据包,然后对这些数据包解码、统计、分析,是网络管理中必不可少的管理系统。同时他们都有还原协议的功能,把用户发的 EMAIL、浏览的网页恢复为完整的文件保存起来,以备查案。 科来网络分析系统是目前国内最好用的网络分析产品,是查找网络故障的代表性产品。 虽然网络分析与 IDS 在数据的获取原理是相同的,但它们对数据的处理和应用却是区别很大,通过下面的比较,有利于管理者掌握两类产品的不同用途。 对比科来网络分析系统入侵检测系统(IDS)功能侧
2、重不同网络的故障,性能,安全捕捉并分析网络数据,监测链路运行状态且从底层找到网络故障、网络入侵行为捕捉并分析网络数据,根据特征库,行为库进行匹配是否是网络入侵行为。主要侧重于安全。 性能以及安全方面问题的根源。侧重于故障、性能、安全三方面。 工作原理不同 网络分析技术网络旁路接入的,分析网络的所有数据包。对数据包进行字段解码,特征库匹配技术网络旁路接入的,捕获网络的所有数据包。对网络数据进行特征库的规则匹配,向管理者提供规则库中的攻击行为。 提供多视角的数据分析和统计结果。这些包括:流量分析、会话分析、矩阵连接分析、利用率分析、网络应用的日志分析、网络故障、网络错误、木马和病毒攻击等。提供数据
3、提供详细的数据依据通过对网络里的数据分析,提供详细而全面的数据依据,为管理者在判断问题、制定策略、规划网络方面,提供提供数据依据较少黑盒操作,将网络数据与自身的特征库进行匹配,判断是否是入侵,提供的数据较少。 真实可靠的依据。 新的网络攻击防范新的病毒和攻击并不依赖于特征库或病毒库。针对于网络异常现象发现问题,对新的病毒或病毒变种,以及新的攻击或入只能检测已知的攻击模式这是 IDS 的通病,对攻击的发现,要依赖于自身的特征库。即使最好的 IDS,对新的攻击的识别率也是非常低的。 侵,有较强的发现能力。智能、全面、灵活全面实用、适用于各种网络针对于故障、安全、性能方面。提示现有问题、提供相关数据
4、、列举问题产生原因,提供专家建议。黑盒子操作,不灵活能将问题推理过程和问题解答相分离。缺乏处理序列数据的能力,不提供问题相关数据。能检测已知攻击模式;无法处理不确定性。规则关联较多,规则库的维护和更新能力较困难。 针对不同的网络,可调节阈值。数据关联,可处理问题的相关性。可定位故障源的 IP或MAC地址。新的网络攻击全面实用、适用于各种网络除了能让管理局限、难适应网络变化网络应用更新很快,如果入侵特征库不能很好的更新,IDS 很难跟上网络应用的变化。黑盒操作,不提供详细的数据、IDS 很难为管理者提供可靠的数据依据。 IDS 不走向IPS/IDP,那基本上是摆设,作用不大。仅仅局限于入侵方面的
5、安全性问题。 者对网络安全、故障、性能有很好解决之外,还可以很好的了解网络的使用情况,能很好的与其它的网管工具配合使用,大大加强网络管理的有效性。能处理简单与复杂问题;改善网络性能与安全防御能力;有利于管理者的经验和知识的积累。 总结:总的来讲,IDS 的设计是人类的美好的愿望,即有限的活动的脑细胞来处理日益发展和变化的安全攻击,人类还很难做到如此智能化,效果可想而知。如果 IDS 不走向 IPS/IDP,那基本上是摆设,作用不大。IDS/IPS 主要侧重于安全,内建了很多安全的规则。 网络分析技术,则是将所有网络行为或数据透明化,有了全面可靠的数据,通过智力、经验和工具的配合,完全可以很容易解决各类复杂、抽象的问题。网络分析主要侧重于网络的异常,内建的主要是通讯方面的规则和对异常现象的分析,是对网络管理更为全面实用的技术。 尽管如此,IDS 对于已知的攻击的防范能力还是非常好的。对于一个完善的网络管理,网络分析,IDS 产品,网络杀毒产品,都应该具备。 网络服务监控 vs 网络分析 网络管理的分类与介绍
