扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
中国人民银行的张涨是IDS的骨灰级用户,对IDS玩得非常熟,但即使这样,他也仅仅是听说IPS而已,并没有真正使用和见过。他的担心是:IPS既然是网络威胁的阻断设备,误报、
误阻影响网络的连通性怎么办?北京银行的魏武中也认为,如果在网络的入口处,串接了一串安全设备:IPS、防火墙/VPM以及杀病毒网关等,怎么保证网络的效率?是否会因增添一种新的设备而引起新的单点故障的风险?
事实上,这些疑问一直如影随形地伴随着IPS的诞生和发展。以至于,在很多用户的安全设备的采购清单中,一直在出现“IDS或IPS”的选择,这证明用户依然不了解这两种技术的差别。
启明星辰公司的产品管理中心总监万卿认为,现在是重新审视这两种技术的时候了。他认为,要从三个维度上认清这两种技术的不同。
从趋势看差别
2004年,Gartner的报告曾经预言IDS即将死亡,但无论从用户的需求还是从厂商的产品销售来看,IDS依然处于旺盛的需求阶段,比如,国内最大的IDS生产厂商启明星辰公司,今年上半年IDS的增长超过了50%,并且,公司最大的赢利来源依然是IDS,事实证明,IDS即将死亡的论断是错误的。
万卿认为,IDC的报告是准确的,IDS和IPS分属两种不同产品领域,前者是一种检测技术,而后者是一种阻断技术,只不过后者阻断攻击的依据是检测,因此要用到很多的检测技术,很多用户就此搞混了。
从理论上看,IDS和IPS是分属两个不同的层次,这与用户的风险防范模型有关,用户首先要查找到风险,才能预防和阻断风险。而IDS是查找和评估风险的设备,IPS是阻断风险的设备。防火墙只能做网络层的风险阻断,不能做到应用层的风险阻断。过去,人们曾经利用防火墙与IDS联动的方式实现应用层的风险阻断,但由于是联动,阻断时间上会出现滞后,往往攻击已经发生了才出现阻断,这种阻断已经失去了意义,IPS就此产生。
用一句话概括,IDS是帮助用户自我评估、自我认知的设备,而IPS或防火墙是改善控制环境的设备。IPS注重的是入侵风险的控制,而IDS注重的是入侵风险的管理。也许有一天,通过IDS,我们能确定到底在什么地方放IPS?到底在什么地方放防火墙?这些设备应该配备哪些策略?并可以通过IDS检测部署IPS/防火墙的效果如何。
2
诺言
如果您对“三个维度区分IDS与IPS”有任何疑问要咨询,或者您对我们专家的解答有任何疑义,请您点击以下的链接提交意向单,我们的编辑和信息化专家将会很快为您做出回答,您提供的信息经过审核后将有机会出现在我们的网页上。
从需求看差别
从用户对产品的需求看,两者之间也存在巨大差别。
对IDS,人们希望它能呈现攻击,要求呈现得越全面越好。对IPS,人们对它的需求有三个方面,首先是精确阻断,这是核心,是
评价一款IPS好坏的最关键指标,也是IPS区别于IDS的重要指标,IDS不会仔细考虑攻击的准确性,而IPS必须考虑,因此,需要厂商 对攻击进行清楚的定义,并精确阻断攻击,准确率甚至要求达到100%;其次是防御及时,目前每天公布的攻击有22个之多,如果防御不及时,就会出现很多漏洞代码; 第三是效率要高,因为是在线部署的,效率低会直接影响网络性能。
IDS呈现的事件,绝对不能等同于IPS精确阻断的事件。因为,很多异常行为并不是入侵攻击,只需要让网管员了解就可以了,而不需要阻断。比如一个很特殊的访问过程,也许并不是攻击,但是对于IDS来讲,它可能需要告警,要让用户了解到这种异常状况,但是对IPS来讲,未必要阻断。所以IDS和IPS的的特征库、事件库有着本质的区别,是完全不同的。
从部署上看,目前可共分三种不同的部署情况,第一种是只需要IPS,不需要IDS,这种用户是只关注风险控制,不关注风险管理的单位,可以归类为低风险的行业。第二种是既需要IDS,也需要IPS的高风险行业;第三种是只需要IDS,不需要IPS的监管机构,只做监管,不做防御,比如远程监控中心。
从发展看差别
正因为有上述的不同,因此,这两种产品未来的发展道路也完全不同。从物理层次看,这两种技术无法融合,IPS和IDS资源消耗的重点不一样,IPS多了一个存储转发的过程,先要存储,然后进行分析,分析完后,再进行转发。IDS则不同,关注的是检测事件,怎么样更有效、更清晰地呈现给用户问题,然后让用户找到改进的办法。
因此,对IPS,厂商的技术发展策略重点是突出精确,比如启明星辰,对IPS的技术发展路线是将基于特征的检测和基于原理的检测进行融合,进行交叉验证,来保证要阻断的内容、对象等,确确实实就是攻击。为了保证及时性,启明星辰建立了两个非常重要的部门,一个是攻防实验室,一个是信息安全的博士后工作站,攻防实验室天天在研究漏洞、研究攻击,一旦发现新的攻击,就把这个特征定义清楚,放到特征库中。如果特征不唯一,就提交给信息安全博士后工作站,他们会结合这个攻击躲避的原理,来设计躲避机制和算法。形成一个新模块,纳入到产品的检测引擎中去,并不只是简单地在特征库中增加一个特征。
而IDS的发展防线,则是增强数据汇总、统计、关联分析、报表的呈现能力,是全面检测,IDS的发展目标是检测面越来越全,包括入侵、违规、异常甚至病毒等。同时,检测结果越来越具有可理解性,与事件进行关联,给出事件判断的依据,让网络管理员更容易看懂。
这三个维度呈现了IDS与IPS作为两种不同产品的巨大差别。
1
诺言
如果您对“三个维度区分IDS与IPS”有任何疑问要咨询,或者您对我们专家的解答有任何疑义,请您点击以下的链接提交意向单,我们的编辑和信息化专家将会很快为您做出回答,您提供的信息经过审核后将有机会出现在我们的网页上。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者