入侵检测系统的过去现在和未来

提供安全建设建议

　　很少有安全产品像入侵检测产品那样需要加入大量的人工分析，这往往是那些"IDS无用论"拥趸们的武器：入侵检测不能"即插即用"，还需要加入分析，很不好。但这恰恰是入侵检测产品最有价值的地方：它能告诉用户，什么地方存在什么样的威胁，需要如何处理。比如说熊猫烧香病毒，可以利用网络共享、U盘等方式进行传播，网关级的安全设备对这种"自内而外"的传播方式无能为力，防病毒软件则因为该病毒中有自动停止防病毒软件进程，修改防病毒软件注册表键值等手段而束手无策，只有入侵检测产品这种旁路监听的产品，可以及时发现网络中的异常，明确找出病毒根源并提出解决对策：隔离受感染主机、在防火墙等安全设备上增加安全策略、为服务器等重要资产划分独立区域、增加适当网络安全设备(如防病毒、防火墙)、完善计算机安全管理制度(不允许使用未经检验的移动存储设备等)。

　　评估网络安全建设效果

　　正是由于入侵检测产品需要人工分析，所以报表、日志数据库就一直作为入侵检测产品的重要组成部分，而正是有了这些历史数据的积累，才有了入侵检测的另外一个管理作用：评估安全建设效果。

　　我们来设想一个场景，怎样才能评估网络安全建设的效果呢？新购置的防火墙产品是否有用？放置的位置是不是最佳的选择？

　　没错，需要评估某事、某物的效果，不外乎调查和对比，收集此前、此后的相关数据并进行对照，有无效果一目了然。入侵检测产品就是这样一个可以协助效果评估的管理工具：它拥有最完善的网络历史和实时数据，网络过去的状况和现在的状况应有尽有。某用户初次部署入侵检测产品，发现一天中服务器遭受内外部威胁次数是100次，而整个网络事件次数为1000次，在经过增加其他安全产品，调整网络布局配置后，发现一天中服务器遭受威胁次数降低到了8次，整个网络事件次数为32次，这就说明安全建设(增加产品、调整配置等)是有效果的。

　　最后，我们用一个实际案例来说明入侵检测产品的效果。