選擇合適的入侵檢測系統由哪幾個方面展開調研

選擇合適的入侵檢測系統由以下幾個方面展開調研：

• 產品類型：優先采用具有所有類型的產品，但出于對安全目標實現成本以及部署實現和管理難度等方面的考慮，可以確定采用何種主機和網絡型產品。

• 實現的入侵檢測技術：產品是否是目前主流的入侵檢測技術，采用濫用和異常檢測等多種技術，確保選取的產品在技術實現方面保持先進。

• 產品能夠檢測的攻擊數量和升級能力：這與產品廠商的技術和服務能力密切相關，是入侵檢測系統能夠長久穩定運行的最基本保證。現在幾乎每個星期都有新的漏洞和攻擊方法出現，如果僅僅能夠識別少量的攻擊方法或者版本升級緩慢，將無法保證網絡的安全。

• 產品對攻擊的響應能力：入侵檢測系統在識別攻擊事件的同時，必須做出適當的響應。嘗試對惡意的攻擊切斷，關閉防火墻或路由器的相關端口，賬戶掛起，恢復被篡改的文件并及時通知管理員。另外，它還必須有詳細的日志能力，如信息記錄和回放功能，可以提供詳細的分析和取證數據。

• 定制的能力：入侵檢測系統通常是對網絡或宿主計算機通用的監控工具。對特殊的監控需求只能通過用戶自定義監控策略實現。例如，對審計日志中出現特殊字符的監控，對指定文件的內容的監控等，需要通過靈活的客戶化能力實現。

• 遠程管理能力：現在大型的信息系統網絡往往覆蓋面都較大，跨部門、跨樓層、跨地域等分布式部署需求非常明確。但是如果產品沒有遠程管理能力，則基本上不具備可用性。

• 平臺覆蓋情況：主機和網絡入侵檢測都應盡可能支持Windows和多種Linux/UNIX平臺。特別是如果需要部署主機型入侵檢測系統，更要提早調研清楚。

• 產品自身安全：例如加密通信、透明接入等。入侵檢測系統記錄了企業最敏感的數據，必須有自我保護機制，防止成為黑客的攻擊目標。

• 性能：應根據實際信息系統運行性能要求，要求入侵檢測系統必須能夠在這種高性能應用背景下穩定快速地運行所有期望的安全功能。

• 穩定性：由入侵檢測系統不同組件間網絡通信負載不能影響正常的網絡業務，本身的處理能力也應滿足實時分析數據峰值的預估處理能力，否則無法在危險發生時穩定地保護網絡。

• 易用性：入侵檢測系統應當為安全管理員提供易用性的功能，通過提供友好的用戶界面、方便的自定義設置方法，提高安全管理員對產品的利用效率。