企业网络及应用层安全防护技术精要

　　9、入侵检测技术

　　Intrusion Detection System(入侵检测系统)顾名思义，便是对入侵行为的发觉，其通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。通常说来，其具有如下几个功能：

　　◆监控、分析用户和系统的活动。

　　◆核查系统配置和漏洞。

　　◆评估关键系统和数据文件的完整性。

　　◆识别攻击的活动模式并向网管人员报警。

　　◆对异常活动的统计分析。

　　操作系统审计跟踪管理，识别违反政策的用户活动。

　　按照技术以及功能来划分，入侵检测系统可以分为如下几类：

　　◆基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。

　　◆基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

　　◆采用上述两种数据来源的分布式入侵检测系统：能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。

　　10、统一威胁管理技术

　　UTM是与企业防火墙、入侵检测和防御以及防病毒等结合为一体的设备，将成为未来的应用趋势。IDC同时预测，UTM市场到2008年将占整个信息安全市场的半壁江山，达到57.6%。UTM的一个特点是可以只用到该产品的某一个专门用途，比如用于网关防病毒或是用于内部的入侵检测，也可以全面应用所有功能。当UTM作为一种单点产品来应用时，企业能获得统一管理的优势，并且也能在不增加新设备的情况下开启自身需要的任何功能。UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更加可贵的是，用户可以随时在这个平台上增加或调整安全功能。

　　UTM技术可以进行改良的信息包检查，识别应用层信息，命令入侵检测和阻断，蠕虫病毒防护以及高级的数据包验证机制。这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息传输，BT多线程动态应用下载，Skype等新型软件的应用，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时，设备可以支持动态的行为特征库更新，更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。但UTM技术必须要有强大的硬件平台支撑，否则，难以适应当前的网络性能要求。

　　UTM的应用优势在于：

　　◆降低安全管理复杂度

　　◆集成的维护平台

　　◆单一服务体系结构

　　◆集中的安全日志管理

　　◆组合式的安全保护

　　◆应用的灵活性

　　◆良好的可扩展性

　　◆进一步降低成本

　　UTM设备可以减少与安全功能相关的采集，安装，管理支出，确保企业网络的连续性，和可用性，为目前流行的安全威胁提供有效的防御。