科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道独立还是统一?——浅析IDS与IPS的共生与发展

独立还是统一?——浅析IDS与IPS的共生与发展

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们。一些业内的主流厂商,如Cisco、Checkpoint、ISS以及华为3Com等,他们一般采用基于模式匹配、异常情况或者完整性分析的判断方法。

作者:51cto 2007年10月20日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

从IDS到IPS
前面说过了,即便本着用户的呼声,IDS已经流露出了少许“该出手时就出手”的势头,但这毕竟是后话。为了解决IDS旁路侦听模式的弊端,IPS的概念被提了出来----一种采用在线模式的,可以对所有攻击采取适时行动的入侵防御系统。
在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,IPS的出现恰恰带有时势造英雄的味道。
无疑,IPS倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS?是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。
当然,这样做也是有条件的,IPS必须能够支持众多的攻击方式与协议,因为只有这样才能从网络中进行准确地判断。记者曾在去年汇总过国内外主流IPS厂商的性能分析报告,基本上符合国内企业用户需求的IPS产品都要支持如:HTTP、DNS、FTP、DOS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用,如MSN、Skype等。
另外,国内的企业用户在选购IPS的时候,还必须了解一点:由于IPS采用了在线模式,因此其本身对于网络的性能影响要比IDS大很多。因此用户必须考虑打开IPS后对于自身和网络的影响。比如IPS的性能不能是在“裸奔”或仅打开少量过滤器的前提下取得的,也不能是单纯的测试流量,如单纯的UDP流量或单一的包长度。国内用户应当结合自身情况判断,例如企业部署了VoIP的应用,那就必须去评价它的时延抖动问题,而且要在语音数据流中混杂一般数据模拟实际情况,否则又会是一场灾难。
在记者的采访中,一些厂商也建议国内用户也可以分析IPS在负载情况下的各种效能参数(包括文章后面附表中的参数指标),像对随机端口发送的UDP流量、不考虑处理延时情况下的HTTP最大压力流量、考虑处理延时情况下的HTTP最大压力流量等。
对于国内用户担心的另一个问题----由于IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大。记者在采访中得知,随着技术的进一步发展,这两年来主流IPS厂家的产品在精度控制上有了长足的进步。目前避免误报漏报主要参考两方面技术:一种是并行处理检测;另一种是协议重组。
前者是指所有流经IPS的数据包,都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个,为了提高效率,FPGA采用并行处理的方式,实现在一个时钟周期内,完成对数据包实现所有过滤器遍历。无疑,这样可以极大地提升IPS的处理速度,但必须实现FPGA的并行化。
而后者则将所有流经IPS的数据包,首先经过硬件级别的预处理,这个预处理过程主要完成对数据包的重组,以便IPS能够看清楚具体的应用协议。在此基础上,IPS根据不同应用协议的特征与攻击方式,将重组后的包进行筛选,将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选,可疑数据量大大减少,因此可以大幅度减少IPS处理的工作量,同时降低误报率,当然这个预处理的过程将会是重中之重。
但无论采用哪种技术,目的都是为了确保提升准确性,最大程度的保护用户的网络系统。而总结对于IPS与IDS的今后发展,套用时下流行的一句话:最大程度的保持现状,将来不排除统一的可能性。
IPS/IDS选星秘籍
无论是IDS还是IPS,性能与误保率永远是“大众评委”关心的重要指标。当然,设备的性能决不是在“裸奔”状态下取得的。
IPS并非扮演了防火墙的终结者,事实上,两者在相当长的一段时期内将会共存。
选择在线产品,基本上一分钱一分货。另外,其误保率有时候比漏报还要致命。
高端IPS产品可以在一定程度上解决DoS带来的灾难。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章