市场研究公司Gartner四年前宣布,在计算机中被动监视恶意通讯的入侵检测系统将在2005年“消亡”。主动封锁恶意通讯的入侵防御系统将消灭老式的入侵检测系统。
Gartner称,购买入侵检测系统监视不需要的通讯是浪费金钱和时间,并且敦促企业管理者购买在线入侵防御系统,主要从互联网上封锁对他们实施攻击的通讯。入侵检测系统的支持者称,使用在线入侵防御系统有可能错误地封锁好的通讯。
2003年生产的入侵防御系统还处在早期阶段,其准确性深受怀疑。入侵检测系统是Martin Roesch公司在1998年创造的最知名和最流行的开源软件Snort(嗅探)应用程序。入侵检测系统肯定有自己的缺点,有时候会产生误报或者错报。许多人不知道如何处理在这个监视过程中产生的大量信息。
Gartner声称入侵检测系统被淘汰,是这样吗?
Sourcefire公司首席技术官说,我发现Gartner的结论后面有很大毛病,他们的建议是不全面的。公平地说,Gartner的担心有一些事实基础。毫无疑问,要实现其巨大的潜力,入侵检测系统必需要继续发展。
目前,这个问题争论的要点是入侵检测系统要以混合的方式工作,允许系统管理员根据设置大胆封锁恶意通讯或者进行被动监视。入侵检测系统一般都依赖入侵防御系统的技术标记出现的问题。安全厂商一般都不区分入侵检测系统和入侵防御系统产品的数字。但是,市场研究公司IDC认为,入侵防御系统销量在2005年超过了入侵检测系统。独立资源连续不断的测试有助于确定入侵防御系统的实力和弱点。
Centrex临床实验室的系统和网络经理Dwayne Manley说,我不想重新使用入侵检测系统。这家公司已经从入侵检测系统改为入侵防御系统。他说,使用入侵检测系统,我要分析所有的数据记录,但是,我和我的同事没有时间。入侵防御系统做的事情就是进行监视。
Manley说,入侵防御系统在Centrex临床实验室应用中的缺点是造成网络通讯速度减慢。如果速度再慢一点我会在意吗?不会的。
Network World(网络世界)去年进行的一项产品测试发现某些入侵防御系统在以最高速度运行时准确率不如以较低速度运行的入侵防御系统。但是,在Gartner宣布入侵检测系统死亡四年之后,Gartner分析师Jeffrey Wheatman不知道这个问题为什么还有争议。他说,入侵防御系统制定决策,杀毒软件做这个事情已经有许多年了。
