升級OR替代?IPS系統與IDS系統
隨著互聯網安全問題的升級,IPS系統即網絡防火墻及IDS之后成為完善網絡安全問題的熱門產品。IPS系統(Intrusion Prevention System , 入侵防御系統)簡單來說,IPS系統是位于防火墻和網絡的設備之間。這樣,如果檢測到攻擊,IPS系統會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。那么相對于IDS,IPS系統的出現究竟是替代了IDS技術還是IDS技術的升級版呢?
有人指出,入侵防御系統(IPS)就是入侵檢測系統(Intrusion Detection System,IDS)的升級產品,有了IPS系統,就可以替代以前的IDS系統,這也正是gartner在2003年發表那篇著名的“IDS is dead” 的理由。
從入侵防御系統的起源來看,這個“升級說”似乎有些道理:NetworkICE公司在2000年首次提出了IPS系統這個概念,并于同年的9月18日推出了BlackICEGuard,這是一個串行部署的IDS,直接分析網絡數據并實時對惡意數據進行丟棄處理。
但IPS系統真的會取代IDS系統嗎?IPS系統是在IDS系統的基礎上發展出來的,IDS是一種網絡安全系統,當有敵人或者惡意用戶試圖通過Internet進入你的網絡甚至計算機系統時,這種系統可以檢測出來,并進行報警,通知你采取措施進行響應。就像買汽車保險一樣,IDS也被認為是“最好買上,以防萬一”的東西,否則等到出事兒的時候就晚了。IPS系統(入侵防御系統)的出現,應該說是IDS技術的一種新發展趨勢,IPS系統在IDS監測的功能上又增加了主動響應的功能,一旦發現有攻擊行為,立即響應,主動切斷連接。它的部署方式不像IDS并聯在網絡中,而是以串聯的方式接入網絡中,學過物理的話,應該理解串連與并連的區別吧,這里的串連與并連有異曲同工之妙,就像你說的一樣,IPS系統確實好于IDS系統,它更主動,但從筆者的觀點來說,它們只能算是父子關系入侵檢測是一門綜合性技術,既包括實時檢測技術,也有事后分析技術。
看了上面這么多內容,你可能會有些覺得混亂,下面我沒來看看IPS系統到底是什么,以及他的未來前景如何!
一、IPS系統到底是什么?
“IPS系統可以阻斷攻擊,這正是IDS所做不了的,所以IPS系統是IDS的升級,是IDS的替代品”,可能很多人都會有這種看法。
我們先來看IPS系統的產生原因:
A:串行部署的防火墻可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。
B:旁路部署的IDS可以及時發現那些穿透防火墻的深層攻擊行為,作為防火墻的有益補充,但很可惜的是無法實時的阻斷。
C:IDS和防火墻聯動:通過IDS來發現,通過防火墻來阻斷。但由于迄今為止沒有統一的接口規范,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火墻聯動在實際應用中的效果不顯著。 #p#
二 IPS系統的優勢在哪里:
實時檢測與主動防御是IPS系統最為核心的設計理念,也是其區別于防火墻和IDS的立足之本。為實現這一理念,IPS系統在如下四個方面實現了技術突破,形成了不可低估的優勢:
1、在線安裝(In-Line)。IPS系統保留IDS實時檢測的技術與功能,但是卻采用了防火墻式的在線安裝,即直接嵌入到網絡流量中,通過一個網絡端口接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容后,再通過另外一個端口將它傳送到內部系統中;
2、實時阻斷(Real-time Interdiction)。IPS系統具有強有力的實時阻斷功能,能夠預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成任何損失;
3、先進的檢測技術(Advanced Detection Technology)。主要是并行處理檢測和協議重組分析。所謂并行處理檢測是指所有流經IPS系統的數據包,都采用并行處理方式進行過濾器匹配,實現在一個時鐘周期內,遍歷所有數據包過濾器;而協議重組分析是指所有流經IPS系統的數據包,必須首先經過硬件級預處理,完成數據包的重組,確定其具體應用協議。然后,根據不同應用協議的特征與攻擊方式,IPS系統對于重組后的包進行篩選,將可疑者送入專門的特征庫進行比對,從而提高檢測的質量和效率;
4、特殊規則植入功能(Build-in Special Rule)。IPS系統允許植入特殊規則以阻止惡意代碼。IPS系統能夠輔助實施可接收應用策略(AUP),如禁止使用對等的文件共享應用和占有大量帶寬的免費互聯網電話服務工具等;
5、自學習與自適應能力(Self-study & Self-adaptation Ability)。為了應對黑客們處心積慮、花樣翻新的攻擊手段,IPS系統必須具有人工智能的自學習與自適應能力。能夠根據所在網絡的通信環境和被入侵狀況,分析和抽取新的攻擊特征以更新特征庫,自動總結經驗,定制新的安全防御策略。
三 IPS系統的未來發展方向是什么:
IPS系統的主線功能是深層防御、精確阻斷,IPS系統未來發展趨勢也就明朗化了:不斷豐富和完善IPS系統可以精確阻斷的攻擊種類和類型,并在此基礎之上提升IPS系統產品的設備處理性能。
而在提升性能方面存在的一個悖論就是:需提升性能,除了在軟件處理方式上優化外,硬件架構的設計也是一個非常重要的方面,目前的ASIC/NP等高性能硬件,都是采用嵌入式指令+專用語言開發,將已知攻擊行為的特征固化在電子固件上,雖然能提升匹配的效率,但在攻擊識別的靈活度上過于死板(對變種較難發現),在新攻擊特征的更新上有所滯后(需做特征的編碼化)。而基于開放硬件平臺的IPS系統由于采用的是高級編程語言,不存在變種攻擊識別和特征更新方面的問題,但在性能上存在處理效率瓶頸:暫時達不到電信級骨干網絡的流量要求。
所以,入侵防御系統的未來發展方向應該有以下兩個方面:
第一, 更加廣泛的精確阻斷范圍:擴大可以精確阻斷的事件類型,尤其是針對變種以及無法通過特征來定義的攻擊行為的防御。
第二, 適應各種組網模式:在確保精確阻斷的情況下,適應電信級骨干網絡的防御需求。
四 IPS系統與IDS系統的未來
IPS系統目前不可能取代IDS系統,我們既看到了IPS系統蓬蓬勃勃的增長勢頭,但又要承認IDS在入侵檢測領域的傳統優勢,肯定IPS系統目前尚不可能完全取代IDS系統的基本事實,在建立自己的網絡與信息安全體系的過程中,將兩者有機地結合起來才是保證我們網絡安全的正確選擇。
【編輯推薦】
