入侵侦测系统的基本介绍（下） - 安防知识网

建置与部署入侵侦测系统（Intrusion Detection System；IDS）将成为加强网路安全的一股新力量。在入侵侦测系统的基本介绍上篇中已介绍网路端与主机端入侵侦测系统在侦测系统的差异，以及侦测技术的优缺点；在下篇中则要进一步介绍入侵侦测系统的建置与部署。

作者简介：本文作者赖左罕为毕业于伦敦大学皇家学院（Royal Holloway, University of London）之信息安全硕士，目前任职顾问公司，担任信息安全顾问一职，主要专长包含安全管理（Security Management）、信息安全政策制定（Security Policy）、防火墙（Firewall Implementation）、入侵侦测系统（Intrusion Detection Systems）、入侵安全测试（Penetration Testing）、计算机犯罪搜证（Computer forensics）及紧急事件应变程序。

建置与部署入侵侦测系统（Intrusion Detection System；IDS）将成为加强网路安全的一股新力量。在入侵侦测系统的基本介绍上篇中已介绍网路端与主机端入侵侦测系统在侦测系统的差异，以及侦测技术的优缺点；在下篇中则要进一步介绍入侵侦测系统的建置与部署，建议企业应该分段部署，第一步先建置「网路端」入侵侦测系统，接著再建置「主机端」入侵侦测系统。

分段建置部署入侵侦测系统
在每一个大型的企业系统安全架构上建置入侵侦测系统是一项必要的措施。然而以目前市面上所提供的入侵侦测系统的各项瓶颈，例如：对于安全技术相当有限的系统管理人才来说，仔细详尽的入侵侦测系统规划、先期的准备工作、系统评估与测试，以及专业的训练，对建置一个有效的入侵侦测系统都将是一大考验。有鉴于此，企业在选择一个入侵侦测系统策略及方案前，必须先考虑到建置前的需求分析，是否兼容于其现存的企业网络架构？是否符合其企业内部政策？是否有足够的资源或人力来进行建置以及事后的管理维护？

企业应考虑采用分段式的建置方式，以便能在建置的过程中增加经验，并能够较清楚地确定所需要监听的范围及所需维护的资源。每一种入侵侦测系统的建置方式各有不同，而且入侵侦测系统的建置需要大量的先期准备工作以及持续性与管理者的互动。企业在建置入侵侦测系统前必需先定义适切的安全政策、计画及应对程序，这样当入侵侦测系统产生各种不同的警讯时，相关的人员才有依据可以针对不同的警讯做出适当的反应措施。

在此建议企业用户考虑以混合「网络端」及「主机端」两种系统的方式来建置入侵侦测系统以达到保护企业网络的最佳效果。第一步先建置「网络端」入侵侦测系统，因为它们安装简易而且维护容易，接着在具有特定任务的重要服务器（mission-critical server）上建置「主机端」入侵侦测系统。

建置部署「网络端」入侵侦测系统
「网络端」入侵侦测系统的部署位置可以有许多不同的方式，不同的位置各司其不同的目的：
位置：建置在每一个外部防火墙之后。
目的：可以侦测到由外部对内部网络主要进入点而来的攻击行为、可以对防火墙的政策及效能做评估确认，看其是否设定不当。
位置：建置在一个外部防火墙之前。
目的：可以证明由网际网络而来对内部网络攻击的频率、可以证明并记录由网际网络而来对内部网络攻击的手法。
位置：建置在主要的网络骨干上。
目的：可以侦测在内部网络中未经授权的网络行为，并可监听大量的内部网络流量。
位置：在重要的内部网段上。
目的：可以侦测到对重要资源的攻击行为。

建置部署「主机端」入侵侦测系统
当企业在建置「网络端」入侵侦测系统之后，再建置「主机端」入侵侦测系统可以为企业网络安全带来多一层的保障。但是要在企业网络中的每一台主机上建置「主机端」入侵侦测系统可以说是一项近乎「不可能的任务」的工作。因此，通常会建议只在赋予重要任务（mission-critical）的服务器上安装主机端入侵侦测系统。这样的建置方式主要可以降低整体的建置成本，并且可让有限的人力专注在处理重要任务服务器上所产生的警讯。一旦建置「主机端」入侵侦测系统的运作及维护进入例行程序，一些对安全较为重视的企业可以考虑在大部份的服务器上也开始建置「主机端」入侵侦测系统。在这样的情况下，建议考虑选购具有使用简明特色的中央管理接口（centralised management console）以及完整报告功能的「主机端」入侵侦测系统，以简化建置程序及人力资源。

入侵侦测系统的前景
大约在西元1985年起，入侵侦测系统的研究与发展一直相当活跃且持续在进步中，但是在商业领域上的广泛采用却是到西元1996年才逐渐开始。在过去的几年之中，商业产品的入侵侦测系统销售量一直持续攀升，分析家预估销售市场将会继续扩大成长。

部份商业产品的入侵侦测系统因为产生过多的误判警讯，为数频繁的攻击报告，缺乏扩展性以及缺乏与企业管理系统的整合性，因此一直为一般企业大众所垢病。虽然如此，但是商业产品的入侵侦测系统仍然处於快速进步发展的阶段中，因此相信在不久的将来，这些缺点将会一一被提出并得以解决。

入侵侦测系统产品的发展生态其实和防毒程式非常相似∶早期的防毒程式对一般使用者行为产生过多的错误警讯，而且无法有效地防范所有已知的病毒。但经过不断的技术上改善与演进至目前为止，大部份的使用者已经不太会注意到防毒程式的存在，认为它们是一项基本必需的程式，而且有相当的信心它将会捕捉到所有已知的病毒。相信入侵侦测系统产品也将会走到这麽一天。