网络分析、入侵检测系统(IDS)都属于网络旁路接入模式,不改变网络结构,通常是通过端口镜像来捕获流经(出入)该网络的所有数据包,然后对这些数据包
解码、统计、分析,是网络管理中必不可少的管理系统。同时他们都有还原协议的功能,把用户发的EMAIL、浏览的网页恢复为完整的文件保存起来,以备查
案。
解码、统计、分析,是网络管理中必不可少的管理系统。同时他们都有还原协议的功能,把用户发的EMAIL、浏览的网页恢复为完整的文件保存起来,以备查
案。
虽然网络分析与IDS在数据的获取原理是相同的,但它们对数据的处理和应用却是区别很大,通过下面的比较,有利于管理者掌握两类产品的不同用途。
| 对比 | 网络分析系统 | 入侵检测系统(IDS) |
| 功能侧重不同 | 网络的故障,性能,安全 捕捉并分析网络数据,监测链路运行状态且从底层找到网络故障、性能以及安全方面问题的根源。侧重于故障、性能、安全三方面。 |
网络入侵行为 捕捉并分析网络数据,根据特征库,行为库进行匹配是否是网络入侵行为。主要侧重于安全。 |
| 工作原理不同 | 网络分析技术 网络旁路接入的,分析网络的所有数据包。 对数据包进行字段解码,提供多视角的数据分析和统计结果。这些包括:流量分析、会话分析、矩阵连接分析、利用率分析、网络应用的日志分析、网络故障、网络错误、木马和病毒攻击等。 |
特征库匹配技术 网络旁路接入的,捕获网络的所有数据包。 对网络数据进行特征库的规则匹配,向管理者提供规则库中的攻击行为。 |
| 提供数据 | 提供详细的数据依据 通过对网络里的数据分析,提供详细而全面的数据依据,为管理者在判断问题、制定策略、规划网络方面,提供真实可靠的依据。 |
提供数据依据较少 黑盒操作,将网络数据与自身的特征库进行匹配,判断是否是入侵,提供的数据较少。 |
| 新的网络攻击 | 防范新的病毒和攻击 并不依赖于特征库或病毒库。 针对于网络异常现象发现问题,对新的病毒或病毒变种,以及新的攻击或入侵,有较强的发现能力。 |
只能检测已知的攻击模式 这是IDS的通病,对攻击的发现,要依赖于自身的特征库。即使最好的IDS,对新的攻击的识别率也是非常低的。 |
| 智能、全面、灵活 | 全面实用、适用于各种网络 针对于故障、安全、性能方面。 提示现有问题、提供相关数据、列举问题产生原因,提供专家建议。 针对不同的网络,可调节阈值。 数据关联,可处理问题的相关性。 可定位故障源的IP或MAC地址。 |
黑盒子操作,不灵活 能将问题推理过程和问题解答相分离。 缺乏处理序列数据的能力,不提供问题相关数据。 能检测已知攻击模式;无法处理不确定性。 规则关联较多,规则库的维护和更新能力较困难。 |
| 新的网络攻击 | 全面实用、适用于各种网络 除了能让管理者对网络安全、故障、性能有很好解决之外,还可以很好的了解网络的使用情况,能很好的与其它的网管工具配合使用,大大加强网络管理的有效性。 能处理简单与复杂问题;改善网络性能与安全防御能力;有利于管理者的经验和知识的积累。 |
局限、难适应网络变化 网络应用更新很快,如果入侵特征库不能很好的更新,IDS很难跟上网络应用的变化。 黑盒操作,不提供详细的数据、IDS很难为管理者提供可靠的数据依据。 IDS不走向IPS/IDP,那基本上是摆设,作用不大。 仅仅局限于入侵方面的安全性问题。 |
总结:
总的来讲,IDS的设计是人类的美好的愿望,即有限的活动的脑细胞来处理日益发展和变化的安全攻击,人类还很难做到如此智能化,效果可想而知。如果IDS不走向IPS/IDP,那基本上是摆设,作用不大。IDS/IPS主要侧重于安全,内建了很多安全的规则。
网络分析技术,则是将所有网络行为或数据透明化,有了全面可靠的数据,通过智力、经验和工具的配合,完全可以很容易解决各类复杂、抽象的问题。网络分析主要侧重于网络的异常,内建的主要是通讯方面的规则和对异常现象的分析,是对网络管理更为全面实用的技术。
尽管如此,IDS对于已知的攻击的防范能力还是非常好的。对于一个完善的网络管理,网络分析,IDS产品,网络杀毒产品,都应该具备。