在過去的兩年中,入侵檢測(IDS)技術一度被炒得熱火朝天,而去年6月,Gartner的一份非常著名的報告很果斷地宣告了IDS技術的“死刑”,它宣布入侵防御(IPS)將成為IDS的“掘墓人”。到底IPS有何高明之處,使得它在網絡安全舞臺一登場便贏得如此高的實力指數?
據國外安全廠商NetScreen的技術專家介紹:相對于IDS的被動檢測及誤報等問題,IPS是一種比較主動、機智的防御系統。從功能上講,作為并聯在網絡上的設備,絕大多數IDS一般需要與防火墻聯動或發送TCPreset包來阻止攻擊。而IPS本身就可以阻止入侵的流量。
從技術上講,IDS系統在識別大規模的組合式、分布式的入侵攻擊方面,還沒有較好的方法和成熟的解決方案,誤報與漏報現象嚴重,用戶往往淹沒在海量的報警信息中,而漏掉真正的報警;此外,IDS只能報警而不能有效采取阻斷措施的設計理念,也不能滿足用戶對網絡安全日益增長的需求。相反,IPS系統則沒有這種問題,它的攔截行為與其分析行為處在同一層次,能夠更敏銳地捕捉入侵的流量,并能將危害切斷在發生之前。從IDS到IPS,這是必然的趨勢。
但IPS能否真正取代IDS,來自總參的一位技術專家認為,“IDS+防火墻”的聯動防護機制與IPS會在今后相當長的時間內并存,IPS的發展勢頭會更好一些。但IPS并不是防火墻的替代者,至少在當前,IPS與防火墻的互補作用還十分明顯,防火墻負責提供3-4層的基本安全環境和高速轉發能力,而IPS負責4-7層流量的小粒度控制。事實上,在電信級流量背景下,對于4-7層的流量進行分析和過濾是不現實的,只有高性能的防火墻系統才能為網絡提供必要的防護。因此,IPS更加適用于中等規模的網絡,以及作為大型網絡中的第二層防護,用以保護關鍵的業務和應用。
另外,專家還指出了IPS技術的四大特征:只有以嵌入模式運行的IPS設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包;IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截;高質量的入侵特征庫也是IPS高效運行的必要條件;IPS還必須具有高效處理數據包的能力。