入侵检测系统与入侵防御系统的区别.doc

入侵检测系统与入侵防御系统区分 -09-04 15:38:12   作者: 未知   起源: CNET中国 关键字: 入侵防御系统 入侵检测系统 IPS 特征匹配 IDS 攻击 安全策略 用户 网络 布署 　　1. 入侵检测系统(IDS) 　　IDS是英文“Intrusion Detection Systems”缩写, 汉字意思是“入侵检测系统”。专业上讲就是依据一定安全策略, 对网络、 系统运行情况进行监视, 尽可能发觉多种攻击企图、 攻击行为或者攻击结果, 以确保网络系统资源机密性、 完整性和可用性。 　　我们做一个比方——假如防火墙是一幢大厦门锁, 那么IDS就是这幢大厦里监视系统。一旦小偷进入了大厦, 或内部人员有越界行为, 只有实时监视系统才能发觉情况并发出警告。 　　 　　 　　 　　与防火墙不一样是, IDS入侵检测系统是一个旁路监听设备, 没有也不需要跨接在任何链路上, 无须网络流量流经它便能够工作。所以, 对IDS布署唯一要求是: IDS应该挂接在全部所关注流量都必需流经链路上。在这里, “所关注流量”指是来自高危网络区域访问流量和需要进行统计、 监视网络报文。 　　IDS在交换式网络中位置通常选择为: 尽可能靠近攻击源、 尽可能靠近受保护资源。 　　这些位置通常是: 　　 服务器区域交换机上; 　　 Internet接入路由器以后第一台交换机上; 　　 关键保护网段局域网交换机上。 　　2. 入侵防御系统(IPS) 　　IPS是英文“Intrusion Prevention System”缩写, 汉字意思是入侵防御系统。 　　伴随网络攻击技术不停提升和网络安全漏洞不停发觉, 传统防火墙技术加传统IDS技术, 已经无法应对部分安全威胁。在这种情况下, IPS技术应运而生, IPS技术能够深度感知并检测流经数据流量, 对恶意报文进行丢弃以阻断攻击, 对滥用报文进行限流以保护网络带宽资源。 　　对于布署在数据转发路径上IPS, 能够依据预先设定安全策略, 对流经每个报文进行深度检测（协议分析跟踪、 特征匹配、 流量统计分析、 事件关联分析等）, 假如一旦发觉隐藏于其中网络攻击, 能够依据该攻击威胁等级立刻采取抵御方法, 这些方法包含（根据处理力度）: 向管理中心告警; 丢弃该报文; 切断此次应用会话; 切断此次TCP连接。 　　进行了以上分析以后, 我们能够得出结论, 办公网中, 最少需要在以下区域布署IPS, 即办公网与外部网络连接部位（入口/出口）; 关键服务器集群前端; 办公网内部接入层。至于其它区域, 能够依据实际情况与关键程度, 酌情布署。 　　3. IPS与IDS区分、 选择 　　IPS对于初始者来说, 是位于防火墙和网络设备之间设备。这么, 假如检测到攻击, IPS会在这种攻击扩散到网络其它地方之前阻止这个恶意通信。而IDS只是存在于你网络之外起到报警作用, 而不是在你网络前面起到防御作用。 　　IPS检测攻击方法也与IDS不一样。通常来说, IPS系统都依靠对数据包检测。IPS将检验入网数据包, 确定这种数据包真正用途, 然后决定是否许可这种数据包进入你网络。 　　现在不管是从业于信息安全行业专业人士还是一般用户, 都认为入侵检测系统和入侵防御系统是两类产品, 并不存在入侵防御系统要替换入侵检测系统可能。但因为入侵防御产品出现, 给用户带来新迷惑: 到底什么情况下该选择入侵检测产品, 什么时候该选择入侵防御产品呢? 　　从产品价值角度讲: 入侵检测系统重视是网络安全情况监管。入侵防御系统关注是对入侵行为控制。与防火墙类产品、 入侵检测产品能够实施安全策略不一样, 入侵防御系统能够实施深层防御安全策略, 即能够在应用层检测出攻击并给予阻断, 这是防火墙所做不到, 当然也是入侵检测产品所做不到。 　　从产品应用角度来讲: 为了达成能够全方面检测网络安全情况目, 入侵检测系统需要布署在网络内部中心点, 需要能够观察到全部网络数据。假如信息系统中包含了多个逻辑隔离子网, 则需要在整个信息系统中实施分布布署, 即每子网布署一个入侵检测分析引擎, 并统一进行引擎策略管理以及事件分析, 以达成掌控整个信息系统安全情况目。 　　而为了实现对外部攻击防御, 入侵防御系统需要布署在网络边界。这么全部来自外部数据必需串行经过入侵防御系统, 入侵防御系统即可实时分析网络数据, 发觉攻击行为立刻给予阻断, 确保来自外部攻击数据不能经过网络边界进入网络。 　　入侵检测系统关键价值在于经过对全网信息分析, 了解信息系统安全情况, 进而指导信息系统安全建设目标以及安全策略确立和调整, 而入侵防御系统关键价值在于安全策略实施—对黑客行为阻击; 入侵检测系统需要布署在网络内部, 监控范围能够覆盖整个子网, 包含来自外部数据以及内部终端之间传输数据, 入侵防御系统则必需布署在网络边界, 抵御来自外部入侵, 对内部攻击行为无能为力。 　　明确了这些区分, 用户就能够比较理性进行产品类型选择: 　　 若用户计划在一次项目中实施较为完整安全处理方案, 则应同时选择和布署入侵检测系统和入侵防御系统两类产品。在全网布署入侵检测系统, 在网络边界点布署入侵防御系统。 　　 若用户计划分布实施安全处理方案, 能够考虑先布署入侵检测系统进行网络安全情况监控, 后期再布署入侵防御系统。 　　 若用户仅仅关注网络安全情况监控(如金融监管部门, 电信监管部门等), 则可在目标信息系统中布署入侵检测系统即可。 　　明确了IPS根本功效是深层防御、 正确阻断后, IPS未来发展趋势也就明朗化了: 不停丰富和完善IPS能够正确阻断攻击种类和类型, 并在此基础之上提升IPS产品设备处理性能。 　　而在提升性能方面存在一个悖论就是: 需提升性能, 除了在软件处理方法上优化外, 硬件架构设计也是一个非常关键方面, 现在ASIC/NP等高性能硬件, 都是采取嵌入式指令+专用语言开发, 将已知攻击行为特征固化在电子固件上, 即使能提升匹配效率, 但在攻击识别灵活度上过于死板(对变种较难发觉), 在新攻击特征更新上有所滞后(需做特征编码化)。而基于开放硬件平台IPS因为采取是高级编程语言, 不存在变种攻击识别和特征更新方面问题, 厂商最新产品已经能够达成电信级骨干网络流量要求, 比如McAfee企业推出电信级IPS产品M8000（10Gbps流量）、 M6050（5Gbps）。 　　 　　所以, 入侵防御系统未来发展方向应该有以下两个方面: 　　第一, 愈加广泛正确阻断范围: 扩大能够正确阻断事件类型, 尤其是针对变种以及无法经过特征来定义攻击行为防御。 　　第二, 适应多种组网模式: 在确保正确阻断情况下, 适应电信级骨干网络防御需求。