IDS一机多用

IDS众口难调

对于规模较大的企业来说，入侵检测系统（IDS）是让他们既爱又愁的一类安全产品。 “爱”，是因为IDS具有一双火眼金睛，能够实时监视企业的网络，并把发现的任何异动及时报告给管理员，为企业网的安全、稳定立下了汗马功劳；“愁”，是由于普通IDS只有一个统一的检测引擎，企业在任何时刻都只能应用一个共同的检测策略，这让网络管理员发愁不已――因为这无疑给企业设置IDS检测策略制造了一个无法逾越的鸿沟：不管企业的规模有多大，不管各个职能部门的安全需求有什么差异，在检测入侵方面只能站在同一条起跑线上，面临相同的危险系数，一荣俱荣、一损俱损。

由此，我们自然而然地想到，是否可以采用这样的方法：对安全敏感度不同的网络环境和安全需求不同的网络设备，采用不同的IDS。可是，如果这样，就可能意味着对一个企业来说，财务部要用一个IDS防数据库入侵；总裁办公室要用一个IDS防木马入侵和通信窃听；办公室要用一个IDS防蠕虫以及病毒泛滥……显而易见，企业信息化的安全投入将直线上升，而且，网络上设备越多、管理起来也就越复杂。

引入虚拟引擎技术

新诞生的IDS虚拟引擎技术则可以解决这个难题。启明星辰公司的天阗入侵检测系统中就采用了这种新技术。这种技术的原理简单概括就是：在传统IDS技术基础上，针对不同的网络环境和安全需求，虚拟出针对性强的入侵检测引擎，将低成本的安全防护和准确、灵活的检测机制结合起来。具体来说，就是在一台入侵检测系统的物理引擎上，用户可以根据具体的网络环境特点对安全需求进行分类，其分类的标准可以是VLAN（组）、MAC地址（组）、IP地址（组、段）。在此基础上，虚拟出多个检测引擎，每一个虚拟引擎都可以根据不同需要，执行不同的检测策略集，甚至单独设置安全策略标准，最终实现面向不同对象实现不同策略的智能化入侵检测防护。

采用新的虚拟引擎技术，其诀窍就在于虚拟引擎技术和应用中“组”概念的紧密结合。通常，在实际应用中，用户搭建网络时，往往会根据不同的业务应用环境，以及不同部门来划分网段，在交换机上会进行相应的VLAN划分、IP地址分配。划分后的网络环境通常是，同一个组里面的网络设备具有相近的安全需求，在面临的入侵威胁上具有共性。例如图2 所示，将办公用的PC和存储公司重要数据信息的数据库，以及公司服务器划分到不同VLAN中，然后在入侵检测的物理探测引擎上，对不同的VLAN配置相应的虚拟检测引擎。这样，入侵检测设备就可以对不同的业务应用做安全防范时量身定做安全策略，例如，对于数据库所在的组，入侵检测的安全策略以对数据库的检测与防护为重点；对于总裁办公室来说，因涉及到大量高度机密的信息，所以对于黑客扫描以及可疑木马程序的运行作为安全防范的重点；而对于销售部门来说，因为携带笔记本电脑外出办公的情况非常普遍，很容易染上电脑病毒，所以，很自然蠕虫病毒的检测和防范成为其安全策略的重点。由此，从根本上改变了以往由于传统IDS技术的局限造成的“眉毛胡子一把抓”的局面，使误报率大大降低，增强了IDS安全防范的准确性和灵活性。