科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道浅析IDS与IPS:检测与防护的共生与发展

浅析IDS与IPS:检测与防护的共生与发展

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一些业内的主流厂商一般采用基于模式匹配、异常情况或者完整性分析的判断方法。对于基于模式匹配的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。

作者:网界网 2007年10月11日

关键字: IDS IPS 入侵防御系统 规则匹配 检测技术

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内,IDS和IPS将共同存在。

  存在的发展观

  IDS与IPS的发展其实非常有意思,因为他们的出现与发展的时间间隔并不长,而且到目前为止,各自都有坚定的用户与支持者,当然,各自的缺点也非常明显。在此,虽然有不少人认为IPS终将取代IDS而成为主流(有些人甚至认为UTM也是IPS的终结者),但记者并不敢全部认同。

  在IT产业中,这么多年了,从来没有过技术主导一切的定论,国内也是一样。君不见微软战胜苹果,TCP/IP搞掉OSI,道理很简单:适合的就是最好的。虽然技术很重要,但是也要考虑到用户的接受程度、应用水平与经济能力,尤其是在国内。

  记者一直认为,IDS在国内发展的一个重要领域是教育,虽然很多IPS厂商也认为教育是其主要市场,但作为先来者,IDS和很多全网安全方案的结合,帮助了其进一步存活的可能性,当然荷包不足的用户也是其发展的另一个条件。

  当然,记者的意思并非IDS将会一路高歌,恰恰相反,很多用户对于发现问题后及时采取行动的呼声与愿望越发高涨,眼下所担忧的仅仅是这种行动不要由于误打误撞而导致灾难。不管怎么说,这种愿望还是造成了眼前IDS与IPS的边界越来越模糊(甚至是和少数初级的UTM)----发现问题,采取一点点用户心理上能够承受的行动。

  从防火墙到IDS

  其实回忆早前防火墙在国内的应用可以发现,用户对于安全设备的理解与掌握,往往花费的时间都比较长。

  现在国内用户对防火墙已经有了很高的认知和应用水平(至少对ACL的配置选择已经不在陌生),并认可了其网络大门的地位。但不可否认,防火墙采用规则匹配的原理,对于内容的控制并不严密。虽然少数高端产品可以对应用协议进行动态分析----边界模糊的另一种证明----,但这样仍不能对进出网络的数据进行分析,特别是对网络内部发生的事件完全无能为力。

  Juniper公司的工程师向记者表示,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。因此如果把放火防火墙比作大门警卫的话,IDS就是网络中不间断的摄像机。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案

  在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出,当前市场上存在的IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。

  从技术上说,无论采用HIDS还是NIDS,都能发现对方无法检测到的一些入侵行为,可互为补充,完美的IDS产品应该将两者结合起来。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。

  对一个成功的IDS系统来讲,它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的是,IDS大多管理、配置简单,从而使企业人员可以非常容易地获得网络安全。另外,好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章