科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道IDS or IPS 企业如何做出正确选择

IDS or IPS 企业如何做出正确选择

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、未知的攻击。

作者:51cto 2008年4月14日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  业内关于IDS和IPS的讨论持续以久,Gartner副总裁Richard Stiennon在03年发表的《入侵检测将亡 入侵防御前途看好》引起安全业界的巨大震动,至今用户在考虑企业安全方案的时候,仍然会问到底是选择IDS还是IPS。06年IDC年度安全市场报告指出IDS和IPS是两个独立的市场,至此IDS和IPS有了一个明确的定位。

  但是不得不承认对于用户而言,选择IDS还是IPS仍然是个头疼的问题。笔者以为IDS和IPS分别是两种不同作用的安全产品,或者说侧重点是不同的。笔者并不赞同IPS的出现可以替代IDS的地位,就仿佛行为检测技术的出现,仍然需要成熟的特征码检测作为依据一样。

  认识入侵检测IDS(Intrusion Detection System)

  IDS的核心功能是对各种事件进行分析,从中发现违反安全策略的行为。从技术上讲,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。

  对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

  两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、未知的攻击。

  不得不承认IDS存在一些致命的缺陷,甚至有人认为IDS只报警不采取措施的方式不能保证网络的安全,但笔者认为这种说法是片面的,由于IDS的检测种类方式各不相同,所以不能简单的说只检测就不能有效的抵御网络攻击。因此笔者建议若用户仅仅关注网络安全状况的监控,只需在目标信息系统中部署IDS即可,配以优秀的网络管理人员,就可以解决遇到的大多数安全异常状况。

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章