扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内,IDS和IPS将共同存在。
存在的发展观
IDS与IPS的发展其实非常有意思,因为他们的出现与发展的时间间隔并不长,而且到目前为止,各自都有坚定的用户与支持者,当然,各自的缺点也非常明显。在此,虽然有不少人认为IPS终将取代IDS而成为主流(有些人甚至认为UTM也是IPS的终结者),但记者并不敢全部认同。
在IT产业中,这么多年了,从来没有过技术主导一切的定论,国内也是一样。君不见微软战胜苹果,TCP/IP搞掉OSI,道理很简单:适合的就是最好的。虽然技术很重要,但是也要考虑到用户的接受程度、应用水平与经济能力,尤其是在国内。
记者一直认为,IDS在国内发展的一个重要领域是教育,虽然很多IPS厂商也认为教育是其主要市场,但作为先来者,IDS和很多全网安全方案的结合,帮助了其进一步存活的可能性,当然荷包不足的用户也是其发展的另一个条件。
当然,记者的意思并非IDS将会一路高歌,恰恰相反,很多用户对于发现问题后及时采取行动的呼声与愿望越发高涨,眼下所担忧的仅仅是这种行动不要由于误打误撞而导致灾难。不管怎么说,这种愿望还是造成了眼前IDS与IPS的边界越来越模糊(甚至是和少数初级的UTM)----发现问题,采取一点点用户心理上能够承受的行动。
从防火墙到IDS
其实回忆早前防火墙在国内的应用可以发现,用户对于安全设备的理解与掌握,往往花费的时间都比较长。
现在国内用户对防火墙已经有了很高的认知和应用水平(至少对ACL的配置选择已经不在陌生),并认可了其网络大门的地位。但不可否认,防火墙采用规则匹配的原理,对于内容的控制并不严密。虽然少数高端产品可以对应用协议进行动态分析----边界模糊的另一种证明----,但这样仍不能对进出网络的数据进行分析,特别是对网络内部发生的事件完全无能为力。
Juniper公司的工程师向记者表示,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。因此如果把放火防火墙比作大门警卫的话,IDS就是网络中不间断的摄像机。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案
在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出,当前市场上存在的IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。
从技术上说,无论采用HIDS还是NIDS,都能发现对方无法检测到的一些入侵行为,可互为补充,完美的IDS产品应该将两者结合起来。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。
对一个成功的IDS系统来讲,它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的是,IDS大多管理、配置简单,从而使企业人员可以非常容易地获得网络安全。另外,好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者