亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

入侵防御系統IPS,技術成熟了嗎?
2006-06-29   互聯網 

IPS(入侵防御系統)提出了多年,一直有個聲音認為IPS會取代IDS(入侵檢測系統),但是幾年過去了,情況并非如此,那么IPS 目前到底處于什么狀態呢?

據調查,目前59%的用戶部署了IDS,27%的用戶將IDS列入購買計劃,62% 用戶在關注 IPS,并且7%的用戶有意向購買 IPS,這些數據表明,IDS和IPS 在國內都呈現出繁榮發展的前景。

這與幾年前一些研究機構預計的“IPS將逐步取代IDS”的看法截然不同。IPS 既沒有得到 “一覽眾山小”的市場局面,IDS 也沒有“節節敗退”,是什么原因使得人們的預測出現了如此大的偏差呢?要想找出其中的原因,不得不從研究歷史出發,看看IDS 和IPS 都是如何發展的。

需求決定IDS 不會消沉

安全防護是一個多層次的保護機制,它既包括企業的安全策略,又包括防火墻、防病毒、入侵檢測等產品技術解決方案。而且,為了保障網絡安全,還必須建立一套完整的安全防護體系,進行多層次、多手段的檢測和防護。IDS正是構建安全防護體系不可缺少的一環。

雖然有很多用戶對IDS 是否具有存在價值表示過質疑,但到目前為止,更多的用戶是在關注如何最大程度地發揮IDS 的作用,來保障網絡的安全。

據市場統計顯示,2005 年 IDS 可以占到安全市場全年總額的11.2%,市場銷售額達到5. 5億元。而2004 年國內IDS產品全年銷售額是3.8億元,占中國網絡安全市場全年市場份額的 10.9%。2003 年IDS的市場銷售額是2.75億元。可以看出,隨著國內用戶的成熟,IDS在網絡安全市場中也是處在一個穩定的發展階段。在這種情況下,誰能說IDS的市場會江山不再呢?

促使IDS 得到廣泛應用的另一個因素是,Slammer、沖擊波等針對系統漏洞的攻擊不斷增多,新的軟件漏洞不斷被發現,一些分析系統缺陷、編寫攻擊程序或制作蠕蟲病毒的簡單工具也在不斷發展之中,從發現缺陷到釋放出蠕蟲病毒的時間間隔也在進一步縮短,用戶需要一種可以檢測攻擊的有效工具,IDS 就是其中的一種。

自身改進打破IDS 滅亡論

雖然前一時間IPS取代IDS 的呼聲日漸高漲,而且Gartner 發表的“IDS將死”言論更是讓這兩種技術的爭斗達到了白熱化,但在國內,IDS還沒有受到 “滅亡論”的太大影響,這主要是因為IDS不斷地進行著改造。目前的IDS 技術是需要有比較大的改進才能滿足客戶的需要,可能需要細分市場做出不同的產品來滿足不同的客戶。

從安全廠商來看,安氏中國、綠盟科技、McAfee、天融信、方正、冠群金辰、聯想、東軟、中科網威、啟明星辰等眾多廠商都有多款百兆和千兆的 IDS 產品。從對這些主流IDS 產品的評測來看,IDS 產品在性能方面也是不斷進步的。比如, 2002 年——2003 年的百兆IDS 產品,在64 字節100%壓力下平均檢測能力僅有40.2%,而2003 年——2004年,部分百兆IDS 產品檢測能力已達到100%,這標志著百兆IDS 產品在性能方面已經成熟。

而千兆IDS 產品的性能也有了長足的發展,捕獲數據包的能力每秒67 萬——85 萬,最高可達140 多萬,對大流量網絡的適應能力明顯增強。還有在功能方面,部分IDS 產品幾年前就具備了網絡流量分析、頁面重組、內容恢復、事件回放等功能,如今不僅功能更為完善多樣,而且功能的模塊化也更有利于用戶根據實際需要進行定制和應用。

近年來,IDS在網絡中的應用逐漸增多起來。在很多對安全等級要求很高的證券、金融以及電信的網絡中,我們都能發現IDS的身影。某證券公司的IT主管談到:“隨著企業網絡結構的不斷擴大和日益復雜,由內部員工違規引起的安全問題變得突出起來,防火墻、防病毒等常規的安全手段只能對付外部入侵,對于內部違規行為卻無能為力。而IDS 可以審計跟蹤內部違反安全策略的行為。另外,IDS 可以記錄、報警各種安全事件,有利于進行安全審計和事后追蹤,對于追溯和阻止拒絕服務攻擊能夠提供有價值的線索。”

IDS 缺陷成就IPS

不過我們同時也看到,也有很多用戶反應IDS 帶來的麻煩大于貢獻。有用戶反映,IDS 的誤報率太高,只要一開機,警報便響個不停,在每天發出的上萬條的報警信息中,真正有價值的信息卻寥寥無幾,而從上萬條信息中挖掘出有用信息費時又費力,通常需要設立專人負責管理IDS,這在缺乏IT人才的企業中是很不現實的。

想要解決誤報和漏報的問題,要綜合運用多種檢測機制,包括特征對比、協議異常分析等技術,同時需要引入數據挖掘技術、神經網絡、專家分析系統等技術以提高信息分析能力。 未來的IDS還需要面向寬帶高速實時的網絡環境,引入數據挖掘、分布式部署、免疫和神經網絡技術,并且適應 IPv6 的技術要求。

很多用戶希望IDS 能夠增加主動阻斷攻擊的能力,在危害出現時能夠直接將其阻斷。用戶的這種希望并不是空穴來風,而是與當前的安全形勢息息相關。

系統漏洞屢屢被攻擊,主動防御和應用安全的壓力從來沒有如此凸顯過。一方面系統的復雜性在不斷提高,幾乎每周都會有系統缺陷被發現;另一方面利用高危缺陷進行入侵和傳播的攻擊技術也在快速發展,用戶需要一種能夠實時阻斷攻擊的安全技術。 從工作原理上來看, IDS技術屬于被動式的反應式技術,這種技術在安全威脅傳播速度較慢時并沒有顯現出太大問題,隨著威脅傳播速度的加快,留給人們響應的時間越來越短,使用戶來不及對入侵做出響應,于是喊著主動防御口號的IPS得到了一定的市場機會。

IPS 靠主動防御搶占市場

混合威脅不斷發展,單一的防護措施已經無能為力,企業需要對網絡進行多層、深層的防護來有效保證其網絡安全。真正的深層防護體系不僅能夠發現惡意代碼,而且還能夠主動地阻止惡意代碼的攻擊。在當前混合威脅盛行的時代,只有深層防護才可以確保網絡的安全。而IPS(入侵防護系統)則是提供深層防護體系的保障。 IPS的出現可謂是企業網絡安全的革命性創新。

從技術的同源性上來看, IPS 和IDS之間有著千絲萬縷的必然聯系,IPS 可以被視作是增加了主動阻斷功能的IDS。例如 McAfee 的IntruShield 以在線方式接入網絡時就是一臺IPS,而以旁路方式接入網絡時就是一臺IDS。但是,IPS 絕不僅僅是增加了主動阻斷的功能,而是在性能和數據包的分析能力方面都比IDS 有了質的提升。

由于增加了主動阻斷能力,檢測準確程度的高低對于IPS來說十分關鍵。IPS廠商綜合使用多種檢測機制來提高IPS的檢測準確性。據Juniper 的工程師介紹,Juniper 在IDP(Juniper 將自己的入侵防護產品命名為IDP) 中使用包括狀態簽名、協議異常、后門檢測、流量異常、網絡蜜罐、哄騙檢測、第二層攻擊檢測、同步泛洪檢測、混合式攻擊檢測在內的“多重檢測技術”,以提高檢測和阻斷的準確程度。Juniper還在不斷增加IDP 能夠解析的協議數量,最近將支持50 種協議增加到60多種,不斷為防止新型攻擊開發新的檢測方法。

除了檢測機制外,IPS 的檢測準確率還依賴于應用環境。一些流量對于某些用戶來說可能是惡意的,而對于另外的用戶來說就是正常流量,這就需要IPS 能夠針對用戶的特定需求提供靈活而容易使用的策略調優手段,以提高檢測準確率。 McAfee、Juniper、ISS同時都在 IPS 中提供了調優機制,使IPS 通過自學習提高檢測的準確性。

引入弱點分析技術是IPS的另一個亮點。IPS廠商通過分析系統漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征,使IPS 能夠主動保護脆弱系統。由于軟件漏洞是不法分子的主要攻擊目標,所以幾乎所有IPS廠商都在加強系統脆弱性的研究。ISS、賽門鐵克分別設立了漏洞分析機構。McAfee 也于日前收購了從事漏洞研究的 Foundstone公司,致力于把漏洞分析技術與入侵防護技術結合起來,使關鍵資源得到主動防護。Juniper設有一個專門的安全小組,密切關注新的系統弱點和蠕蟲,每周都會發布攻擊簽名和基于嚴重等級的緊急簽名更新, Juniper 提供的攻擊簽名是基于弱點和安全漏洞,而不僅僅是黑客已經使用并且造成破壞的安全弱點。

McAfee 公司北亞區技術總監陳聯認為,目前嚴重的安全事件大多數是由緩沖區溢出所導致,所以McAfee 在自己的實驗里加強了對溢出型漏洞的研究和跟蹤,并且把針對溢出型攻擊的相應防范手段推送到IPS 設備的策略庫中。這項緩沖區溢出分析技術使得M c A f e e 的 I P S 設備能夠檢測七層的數據包,實現對應用的主動保護。

賽門鐵克在IPS設備中采用了漏洞阻截技術。通過研究漏洞特征,將其加入到漏洞簽名庫中,IPS 就可以發現符合漏洞特征的所有攻擊流量。沖擊波及其變種都利用了RPC(微軟操作系統的一個漏洞)漏洞。賽門鐵克通過研究并提取RPC 漏洞的特征,組成特征簽名并將其推送給 IPS 設備。在公布漏洞和病毒爆發的一段間隔里,用戶只需將漏洞特征簽名自動下載,就可以在沖擊波及其變種大規模爆發時,直接將其阻斷,從而贏得打補丁的關鍵時間。

主動防御是安全根本

絕大多數IDS 系統都是被動的,而不是主動性的。在攻擊實際發生之前,IDS 往往無法預先發出警報。IPS則傾向于提供主動性的防護,其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS是通過直接嵌入到網絡流量中而實現這一功能的,即通過一個網絡端口接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容后,再通過另外一個端口將它傳送到內部系統中。這樣一來,有問題的數據包,以及所有來自同一數據流的后續數據包,都能夠在IPS設備中被清除掉。

現在談主動防御的很多,這也是IPS 市場啟動的根源。但是有專家認為,入侵防護應該是由多種安全設備組成的安全體系共同來實現,而不是由IPS這種設備單獨來完成,IPS 只是主動防護的一部分,而不是主動防護的全部。主動防護系統還需要加入應用級防火墻與應用級IDS,應用級的IDS 產品能夠重組信息流,跟蹤應用會話過程,并準確描述和識別攻擊,而應用級的防火墻能夠阻斷向應用層發起的攻擊,保護Web 應用。

IDS、 IPS還將并駕齊驅

在主動防御漸入人心之時,擔當網絡警衛的IDS 的報警作用更加重要。盡管IDS 功過參半,但是IDS的報警功能仍是主動防御系統所必需的,也許IDS 的產品形式會消失,但是IDS的檢測功能并不會因形式的消失而消失,只是逐漸被轉化和吸納到其他的安全設備當中。

IDS 與IPS 技術還會并駕齊驅很長一段時間。據市場研究公司Infonetics Research 發布的數據顯示,到2006年,全球IDS/ IPS 市場收入將超過13 億美元。

其實IDS 的發展道路可以借鑒防火墻的發展。防火墻早期從包過濾,應用代理發展起來,是從網絡層應用及應用層解釋開始,一步步關心起具體的協議;包過濾更關注分組的包頭,應用代理關心分組的有效載荷,狀態檢測開始關注分組之間的關系;從安全設備發展的角度,這些并未發展到頭,因為對有效載荷的分析還比較弱。IDS從特征匹配開始到協議分析,走得也是這條路;只是 IDS走到協議分析,也算是比較深入了,但網絡上的應用太復雜了,技術挑戰性太大。依照當前的用法與定位,IDS長期很難生存,但它對分組有效載荷的分析有自己的優勢,這種技術可以用于所有的網絡安全設備。而IPS 其實解決的也是邊界安全問題,其實已開始象是防火墻的升級版了。

國外也已經有報道提到 IDS進入網絡分析,協助網管軟件進行工作,可能是一條比較好的道路(但隨著IPv6 的發展,如果網上全是IPSec 包,不知道監聽這條路怎么走下去)。

廠商們可以通過IDS 產品進入用戶的網絡,并隨著應急服務以及安全培訓逐步介入用戶網絡的運營,從長期而言(只要核心能力建設起來)可以進入安全運營外包市場(針對大客戶)或者安全服務(針對大中客戶)。因此,IDS 其實應該發展成服務而非產品模式,這點又與防火墻有極大不同。

由此來看,IDS和IPS 將會有著不同的發展方向和職責定位。IDS 短期內不會消亡,IPS 也不會完全取代IDS的作用。雖然IPS 市場前景被絕大多數人看好,市場成熟指日可待,但要想靠蠶食IDS 市場來擴大市場份額,對于IPS 來說還是很艱難的,如果真是這樣,恐怕IPS 要嘗嘗青澀蘋果的滋味了。

熱詞搜索:

上一篇:WiFi聯盟冷眼看“熱點”WAPI安全避而不談
下一篇:入侵檢測系統IDS的協議分析與模式匹配

分享到: 收藏