科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道浅析IDS与IPS的共生与发展

浅析IDS与IPS的共生与发展

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内,IDS和IPS将共同存在……

作者:赵晓涛 来源:网界网 2008年4月17日

关键字: IDS IPS 攻击防范

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  从IDS到IPS

  前面说过了,即便本着用户的呼声,IDS已经流露出了少许“该出手时就出手”的势头,但这毕竟是后话。为了解决IDS旁路侦听模式的弊端,IPS的概念被提了出来----一种采用在线模式的,可以对所有攻击采取适时行动的入侵防御系统。

  在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,IPS的出现恰恰带有时势造英雄的味道。

  无疑,IPS倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS?是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。

  当然,这样做也是有条件的,IPS必须能够支持众多的攻击方式与协议,因为只有这样才能从网络中进行准确地判断。记者曾在去年汇总过国内外主流IPS厂商的性能分析报告,基本上符合国内企业用户需求的IPS产品都要支持如:HTTP、DNS、FTP、DOS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用,如MSN、Skype等。

  另外,国内的企业用户在选购IPS的时候,还必须了解一点:由于IPS采用了在线模式,因此其本身对于网络的性能影响要比IDS大很多。因此用户必须考虑打开IPS后对于自身和网络的影响。比如IPS的性能不能是在“裸奔”或仅打开少量过滤器的前提下取得的,也不能是单纯的测试流量,如单纯的UDP流量或单一的包长度。国内用户应当结合自身情况判断,例如企业部署了VoIP的应用,那就必须去评价它的时延抖动问题,而且要在语音数据流中混杂一般数据模拟实际情况,否则又会是一场灾难。

  在记者的采访中,一些厂商也建议国内用户也可以分析IPS在负载情况下的各种效能参数(包括文章后面附表中的参数指标),像对随机端口发送的UDP流量、不考虑处理延时情况下的HTTP最大压力流量、考虑处理延时情况下的HTTP最大压力流量等。

  对于国内用户担心的另一个问题----由于IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大。记者在采访中得知,随着技术的进一步发展,这两年来主流IPS厂家的产品在精度控制上有了长足的进步。目前避免误报漏报主要参考两方面技术:一种是并行处理检测;另一种是协议重组。

  前者是指所有流经IPS的数据包,都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个,为了提高效率,FPGA采用并行处理的方式,实现在一个时钟周期内,完成对数据包实现所有过滤器遍历。无疑,这样可以极大地提升IPS的处理速度,但必须实现FPGA的并行化。

  而后者则将所有流经IPS的数据包,首先经过硬件级别的预处理,这个预处理过程主要完成对数据包的重组,以便IPS能够看清楚具体的应用协议。在此基础上,IPS根据不同应用协议的特征与攻击方式,将重组后的包进行筛选,将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选,可疑数据量大大减少,因此可以大幅度减少IPS处理的工作量,同时降低误报率,当然这个预处理的过程将会是重中之重。

  但无论采用哪种技术,目的都是为了确保提升准确性,最大程度的保护用户的网络系统。而总结对于IPS与IDS的今后发展,套用时下流行的一句话:最大程度的保持现状,将来不排除统一的可能性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章