联合挑战第九期 “快速定位入侵攻击” 礼品多多！

rain_fish

{:3_189:}

世上无巧合

回复 151# sdhdshang


    1.启明星辰的IDS可以对注入和跨站攻击进行检测、IPS可以进行防御，采用我们专有的算法，对向web服务器提交的请求进行分析，从而实现检测和防御。对操作系统的0day漏洞主要是通过我们ADLab对最新发现的漏洞跟踪，并根据研究结果制作相应的特征或算法，然后更新到产品中进行检测和防御。
    2.启明星辰的IDS是国内首个商品化的IDS产品，也创造了国内IDS产品的多个第一：第一个硬件IDS、第一个千兆IDS、第一个大规模多级管理系统。。。，在检测能力、性能、功能、稳定性等方面都在国内领先地位。
    3.如果是部署第一台IDS，通常建议部署在核心交换机。
    4.网站被入侵后补救涉及的方面比较多，最紧急的是要找出攻击者如何获取了控制权限，需要尽快把这个漏洞修补好，还要检查是否被安放了后门、清除恶意代码、修改所有用户口令、检查权限配置。。。
    5.大部分攻击者也是用扫描攻击来扫，只不过管理员只有一个、常用的扫描工具也只有一两种，而攻击者可能来自各个角落使用各种工具。解决方法一是在系统上线前用源代码分析工具来检测是否可能有漏洞，另一个就是选购一款能真正防御各种XSS攻击的IPS或者WAF产品，比如天清IPS，呵呵。
    6.保持系统补丁、防病毒软件及时更新、关闭不必要的端口、定时查看系统日志、订阅安全邮件列表。。。

世上无巧合

回复 154# wangbin

    大部分IDS运行效果不好是两个原因：特征库没有及时升级、策略配置不合理。
    IDS产品一般都具备自动更新特征库的功能，当然前提是能链接到升级网站、并且厂商是有能力升级的。系统部署运行一段时间后，比如一周的时间后核实一下报警，看看是否有些事件可以不用报警，如果不敢肯定的话，可以电话厂商的客服。

世上无巧合

回复 143# shawnlee


    入侵检测产品是旁路部署的，不会影响网络性能。通常的部署是在交换机做镜像，把数据复制一份给IDS，现在的交换机镜像功能基本上都不会显著影响性能了。

世上无巧合

这个~，是不是我们自己感觉身体很健康就可以认为没有任何疾病？

什么是入侵？是相对于被入侵者来说的还是相对于入侵者来说的？
如果我们没有检测到入侵是不是就可以认为没 ...
baopbird2005 发表于 2010-07-09 10:54

世上无巧合

你说得非常对，“使非专业人员非常容易地获得网络安全”实际上以前常被安全厂商忽略，而仅仅注重了对攻击、入侵的研究。

不过如果你要求在发现入侵后能切断网络连接，实际是IPS功能，也就是说必须要设备在线部署，而一旦在线部署，就只能检测流经设备的流量，而无法像旁路的IDS产品能对通过交换机的流量都进行检测了。

因此要看你是希望对所有流量都进行检测还是希望在边界进行防火的基础上选择合适的产品。

启明星辰的天阗系统已经部署在政府、银行、电信、军队等各大行业的各种各种网络，一定有型号能满足你对性能的要求。

目前天阗只支持以太网，是专有的系统。

入侵检测系统IDS是为保证计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象 ...
taobaowang 发表于 2010-07-06 17:06