论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 67 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5
作者 内容
 文章标题 : Re: 关于IDS一直是摆设的问题
帖子发表于 : 2011-01-09 16:50 
离线
中级用户

注册: 2003-11-17 08:30
最近: 2016-02-24 08:30
拥有: 289.40 安全币

奖励: 0 安全币
在线: 2860 点
帖子: 60
地址: 广州
呵。回过头来看,存在即合理,不存在也是合理。ids在好多单位都是一个摆设,这也说明了ids的作用确实非常有限。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于IDS一直是摆设的问题
帖子发表于 : 2011-01-09 21:39 
离线
超级用户

注册: 2007-07-18 13:51
最近: 2014-10-22 09:27
拥有: 2,658.40 安全币

奖励: 413 安全币
在线: 1950 点
帖子: 335
地址: BeiJing
有国外公司的经验吗,IDS的概念是从国外来的吧,国外公司的使用率是什么样的,有多少公司IDS使用的比较好的,好的标准是什么。是否需要做一个市场调查来判断IDS还能不能用,国内的使用现状应该是这样的吧,如果入侵变成了重大事件,可以从IDS哪里拿到一些记录,不过事件已经发生了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于IDS一直是摆设的问题
帖子发表于 : 2011-01-10 10:57 
离线
高级用户

注册: 2005-09-20 13:25
最近: 2012-11-08 17:26
拥有: 787.10 安全币

奖励: 502 安全币
在线: 979 点
帖子: 277
是,对于IDS的漏报误报问题,会让管理员非常头痛。
规则太严误报海量数据,你任何查找需要的信息?太松漏报又引起安全问题。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于IDS一直是摆设的问题
帖子发表于 : 2011-11-25 14:12 
离线
新手

关注按钮

注册: 2011-11-25 14:02
最近: 2011-12-05 11:32
拥有: 63.00 安全币

奖励: 0 安全币
在线: 247 点
帖子: 18
IDS现在主要还是做数据监控使用!由于误报率和漏报率的居高不下,导致它很难去进行入侵报警,只能作为一个监控工具,然后将监控数据呈现在管理员面前,由管理员进行操作,是断开连接还是ip禁止!
IPS虽然在误报率和漏报率有所改善,但是其工作在串行模式下,即使很低的误报率,都有可能导致网络的误操作!
所以,现在的网络入侵检测和防御还是任重而道远!!!


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于IDS一直是摆设的问题
帖子发表于 : 2011-11-25 23:18 
离线
初级用户

关注按钮

注册: 2011-07-07 21:12
最近: 2012-09-11 09:23
拥有: 1,767.00 安全币

奖励: 27 安全币
在线: 645 点
帖子: 21
IDS从原理上有先天误报的问题,基本上解决不了。所以需要人工做二次判断,这是造成IDS成摆设的最重要原因。没有有相应能力的人,或者资源不足。

另外IDS算是个全面产品,并不仅仅是检测安全事件,多半还能顺便检测点上网行为,例如IM使用、炒股软件、P2P下载等,稍微也还能干点流量检测的工作。因此IDS的检测库非常大,如果不进行相应的维护和调优,使用默认配置运行,客户会被海量的他不感兴趣的事情遮住眼睛,甚至冲掉真正有价值的数据,这也是IDS成摆设的一个常见原因。

同时,安全威胁的WEB化也造成IDS看上去没那么有用。

但我认为IDS对WEB威胁中SQL注入和扫描事件的预警是没有问题的(当然,SQL注入是否有影响以及影响大小还需人工判断),同时IDS对传统蠕虫和病毒,包括邮件病毒还是有一定检测能力的。

另外,就是要切实根据客户的需求来优化IDS设备。不可否认的是有不少IDS沦为摆设的原因是客户根本没有需求或者不清楚自己的需求。假如客户近期办公网流量很大想抓典型时P2P事件就很管用了,当领导觉得个个上开心,炒股影响工作效率时相应的非安全监控内容也就有了自己的勇武之地。如果部署在服务器区域就可以把上网检测、什么PING、什么telnet、ssh连接之类的监控关掉,让更有价值的内容显现出来。

工具只是个工具,端看使用者的需求和能力。

最后反问一句,即使是事后追查,在大多数的情况下,出现安全事件后除了IDS,你还能查什么设备?防火墙?F5?


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于IDS一直是摆设的问题
帖子发表于 : 2012-05-04 14:40 
离线
初级用户

注册: 2006-08-29 18:27
最近: 2015-07-21 16:39
拥有: 1,003.20 安全币

奖励: 0 安全币
在线: 2282 点
帖子: 26
1、针对企业来说,IDS的日志量太大,对维护人员是非常头疼的事。
2、IDS与其他产品的联动,存在兼容性问题。
3、IDS模式匹配和特征检测只能针对已知的事件,对未知事件的防护还是很差的。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于IDS一直是摆设的问题
帖子发表于 : 2012-05-04 17:53 
离线
超级用户

关注按钮

注册: 2009-12-22 13:25
最近: 2013-08-27 09:45
拥有: 2,732.00 安全币

奖励: 1109 安全币
在线: 4247 点
帖子: 407
oranker 写道:
IDS从原理上有先天误报的问题,基本上解决不了。所以需要人工做二次判断,这是造成IDS成摆设的最重要原因。没有有相应能力的人,或者资源不足。

另最后反问一句,即使是事后追查,在大多数的情况下,出现安全事件后除了IDS,你还能查什么设备?防火墙?F5?


除了物理故障,出了安全事件后,有多少是在1个月内就知道出事的?


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 67 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012