1. 首頁 > 云知道 > >

淺析IDS與IPS共生與發展

云知道

入侵檢測系統(IDS)是一種動態安全技術,但它不會主動在攻擊發生前阻斷它們 。而入侵防護系統(IPS)則傾向于提供主動性的防護 。在一段時間內,IDS和IPS將共同存在 。
存在的發展觀
IDS與IPS的發展其實非常有意思,因為他們的出現與發展的時間間隔并不長,而且到目前為止,各自都有堅定的用戶與支持者,當然,各自的缺點也非常明顯 。在此,雖然有不少人認為IPS終將取代IDS而成為主流(有些人甚至認為UTM也是IPS的終結者),但采訪人員并不敢全部認同 。
在IT產業中,這么多年了,從來沒有過技術主導一切的定論,國內也是一樣 。君不見微軟戰勝蘋果,TCP/IP搞掉OSI,道理很簡單:適合的就是最好的 。雖然技術很重要,但是也要考慮到用戶的接受程度、應用水平與經濟能力,尤其是在國內 。
采訪人員一直認為,IDS在國內發展的一個重要領域是教育,雖然很多IPS廠商也認為教育是其主要市場,但作為先來者,IDS和很多全網安全方案的結合,幫助了其進一步存活的可能性,當然荷包不足的用戶也是其發展的另一個條件 。
當然,采訪人員的意思并非IDS將會一路高歌,恰恰相反,很多用戶對于發現問題后及時采取行動的呼聲與愿望越發高漲,眼下所擔憂的僅僅是這種行動不要由于誤打誤撞而導致災難 。不管怎么說,這種愿望還是造成了眼前IDS與IPS的邊界越來越模糊(甚至是和少數初級的UTM)----發現問題,采取一點點用戶心理上能夠承受的行動 。
從防火墻到IDS
其實回憶早前防火墻在國內的應用可以發現,用戶對于安全設備的理解與掌握,往往花費的時間都比較長 。
現在國內用戶對防火墻已經有了很高的認知和應用水平(至少對ACL的配置選擇已經不在陌生),并認可了其網絡大門的地位 。但不可否認,防火墻采用規則匹配的原理,對于內容的控制并不嚴密 。雖然少數高端產品可以對應用協議進行動態分析----邊界模糊的另一種證明----,但這樣仍不能對進出網絡的數據進行分析,特別是對網絡內部發生的事件完全無能為力 。
【淺析IDS與IPS共生與發展】Juniper公司的工程師向采訪人員表示,由于防火墻處于網關的位置,不可能對進出攻擊作太多判斷,否則會嚴重影響網絡性能 。因此如果把放火防火墻比作大門警衛的話,IDS就是網絡中不間斷的攝像機 。IDS通過旁路監聽的方式不間斷的收取網絡數據,對網絡的運行和性能無任何影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警 。不但可以發現從外部的攻擊,也可以發現內部的惡意行為 。所以說IDS是網絡安全的第二道閘門,是防火墻的必要補充,構成完整的網絡安全解決方案
在《網絡世界》報社出版的《2005網絡產品購買指南》中就曾指出,當前市場上存在的IDS可以分為以下兩種:主機型IDS(HIDS)和網絡型IDS(NIDS) 。HIDS的分析對象為主機審計日志,所以需 要在主機上安裝軟件,針對不同的系統、不同的版本需安裝不同的主機引擎,安裝配置較為復雜,同時對系統的運行和穩定性造成影響,目前在國內應用較少 。而NIDS的分析對象為網絡數據流,只需安裝在網絡的監聽端口上,對網絡的運行無任何影響,目前國內使用較為廣泛 。
從技術上說,無論采用HIDS還是NIDS,都能發現對方無法檢測到的一些入侵行為,可互為補充,完美的IDS產品應該將兩者結合起來 。一些高端的IDS產品都采用HIDS和NIDS有機結合的混合型IDS架構 。
對一個成功的IDS系統來講,它不但可使企業用戶的網絡管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南 。更為重要的是,IDS大多管理、配置簡單,從而使企業人員可以非常容易地獲得網絡安全 。另外,好的IDS產品可以根據網絡威脅、系統構造和安全需求的改變而改變 。

推薦閱讀