1.产品的攻击检测数量为多少?是否支持升级?
IDS的主要指标是它能发现的入侵方式的数量,几乎每个星期都有新的漏洞和攻击方法出现,产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级,并可通过互联网或下载升级包在本地升级。
2.对于网络入侵检测系统,最大可处理流量(PPS)是多少?
首先,要分析网络入侵检测系统所布署的网络环境,如果在512K或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。
3.产品容易被攻击者躲避吗?
有些常用的躲开入侵检测的方法,如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这一点。
4.能否自定义异常事件?
IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品,必须提供灵活的用户自定义策略能力,包括对服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。
5.产品系统结构是否合理?
一个成熟的产品,必须是集成了基于百兆网络、基于千兆网络、基于主机的三种技术和系统。
传统的IDS大多是两层结构,即“控制台→探测器”结构,一些先进的IDS产品开始采用三层架构进行部署,即“控制台→事件收集器+安全数据库→探测器”结构,对于大型网络来说,三层结构更加易于实现分布部署和集中管理,从而提高安全决策的集中性。如果没有远程管理能力,对于大型网络基本不具备可用性。
[1] [2] 下一页