如何克服IPS技術發展中的障礙
眾所周知,IPS技術相對于IDS技術來說是一個完善與提高,但是作為一個相對領先的技術,其中又有旁路變串接的障礙、功能延伸的障礙和擴大規則庫的障礙這三塊絆腳石,那么究竟如何才能克服IPS技術發展中的諸多障礙呢?
總體來說,IPS技術一般采用ASIC、FPGA或NP(網絡處理器)等硬件設計技術實現網絡數據流的捕獲,檢測引擎綜合特征檢測、異常檢測、DoS檢測、緩沖區溢出檢測等多種手段,并使用硬件加速技術進行深層數據包分析處理,能高效、準確地檢測和防御已知、未知的攻擊及DoS攻擊。
同時,實施多種響應方式,如丟棄數據包、終止會話、修改防火墻策略、實時生成警報和日志記錄等,突破了傳統IDS只能檢測不能防御入侵的局限性,提供了一個完整的入侵防護解決方案。
具體來說,IPS技術用應用層代理引擎技術解決漏報誤報率問題,用引擎硬件化技術解決性能問題。
應用層代理引擎降低誤報漏報率
和IDS相比,IPS技術應具有高性能、低漏報誤報率、防范種類多等特點。要取得這些技術突破,現有IDS的技術積累顯然是不夠的。反病毒引擎在準確報警方面是IDS引擎學習的目標。
從產業發展的角度看,反病毒技術比IDS技術成熟,在反病毒引擎技術中已經運用多項的技術,例如虛擬機技術等。這些技術的使用,保證了反病毒產品的低漏報誤報率。實際上,反病毒產品檢測的準確性已經可量化,而IDS技術的準確性還沒有一個公認的衡量標準。
反病毒產品對規則庫的跟蹤和維護有著更高的要求,反病毒產品的規則庫在十萬條左右,數量上超過IDS幾十倍,并且對規則庫更新的要求更高。IDS對規則庫的更新周期以周為單位,反病毒產品對規則庫的更新周期以天為單位。
引擎硬件化提升性能
如果沒有性能問題的瓶頸,IPS技術不會姍姍來遲。在傳統防火墻領域,廠商們其實也做了不少工作,把IDS、應用層安全技術等都集成進去了,但是只能作為功能宣傳,不敢大張旗鼓推廣,到用戶那往往要把這些功能關閉。這都是讓性能鬧的。
現在IPS技術的廠商,還是那些功能,只是解決了性能問題,敢給用戶用這些功能了,就把產品作為IPS技術開賣。別小看這一點改進,可是核心競爭力,解決性能問題的各個廠商方法不同,思路都一樣,就是把最消耗資源的部分用硬件實現,把最具有靈活性的部分用軟件實現,達到提高性能的目的。
部署很簡單
串接式部署是IPS技術和IDS區別的主要特征。IPS技術的部署方式和IDS有所不同。
IDS產品在網絡中是旁路式工作,IPS技術在網絡中是串接式工作。串接式工作保證所有網絡數據都經過IPS設備,IPS技術檢測數據流中的惡意代碼,核對策略,在未轉發到服務器之前,將信息包或數據流阻截。由于是在線操作,因而能保證處理方法適當而且可預知。
與此相比,通常的IDS響應機制(如TCP重置)則大不相同。傳統的IDS能檢測到信息流中的惡意代碼,但由于是被動處理通信,本身不能對數據流作任何處理。必須在數據流中嵌入TCP包,以重置目標服務器中的會話。然而,整個攻擊信息包有可能先于TCP重置信息包到達服務器,這時系統才做出響應已經來不及了。
重置防火墻規則也存在相同問題,處于被動工作狀態的IDS能檢測到惡意代碼,并向防火墻發出請求阻截會話,但請求有可能到達太遲而無法防止攻擊發生。
IPS技術是網關型設備,要發揮其最大的作用,最好串接在網絡的出口處,比較簡單的部署方案是串接在網關出口的防火墻和路由器之間,監控和保護網絡。當然,在用戶購買產品時,專業的安全工程師會根據用戶的網絡拓撲和需求做詳細設計的。
【編輯推薦】
