資源描述:
《入侵防御系統(tǒng)的過去���、現(xiàn)在和未來.doc》由會員上傳分享,免費在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1、您現(xiàn)在的位置:IT專家網(wǎng)>安全子站>評論分析入侵防御系統(tǒng)的過去��、現(xiàn)在和未來作者:CC, 出處:IT專家網(wǎng), 責(zé)任編輯:張帥, 2007-12-1010:33 入侵防御系統(tǒng)IPS如今被越來越多的用戶所采用�,就在幾年前著名的市場調(diào)查機構(gòu)Gartner還發(fā)表過IDSisdead,然如今一切仍在繼續(xù)��,本文將介紹入侵防御系統(tǒng)IPS的過去�、現(xiàn)在和未來…… 入侵防御系統(tǒng)(IntrusionPreventionSystem,IPS)是這段時間網(wǎng)絡(luò)安全業(yè)內(nèi)比較熱門的一個詞�,這種既能及時發(fā)現(xiàn)又能實時阻斷各種入侵行為的安全產(chǎn)品,自面世那天起�,就受到各大安全廠商和用戶的廣泛關(guān)注?! ∮腥苏J(rèn)
2、為���,入侵防御系統(tǒng)(IPS)就是入侵檢測系統(tǒng)(IntrusionDetectionSystem�����,IDS)的升級產(chǎn)品�,有了IPS���,就可以替代以前的IDS系統(tǒng)�,這也正是Gartner在2003年發(fā)表那篇著名的“IDSisdead”的理由��。 從入侵防御系統(tǒng)的起源來看���,這個“升級說”似乎有些道理:NetworkICE公司在2000年首次提出了IPS這個概念�,并于同年的9月18日推出了BlackICEGuard���,這是一個串行部署的IDS��,直接分析網(wǎng)絡(luò)數(shù)據(jù)并實時對惡意數(shù)據(jù)進行丟棄處理�?�! 〉@種概念一直受到質(zhì)疑���,自2002年IPS概念傳入國內(nèi)起���,IPS這個新型的產(chǎn)品形態(tài)就不斷地受到
3、挑戰(zhàn)�����,而且各大安全廠商��、客戶都沒有表現(xiàn)出對IPS的興趣���,普遍的一個觀點是:在IDS基礎(chǔ)上發(fā)展起來的IPS產(chǎn)品���,在沒能解決IDS固有問題的前提下�����,是無法得到推廣應(yīng)用的?! ∵@個固有問題就是“誤報”和“濫報”,IDS的用戶常常會有這種苦惱:IDS界面上充斥著大量的報警信息����,經(jīng)過安全專家分析后,被告知這是誤警�����。但在IDS旁路檢測的部署形式下�����,這些誤警對正常業(yè)務(wù)不會造成影響����,僅需要花費資源去做人工分析。而串行部署的IPS就完全不一樣了,一旦出現(xiàn)了誤報或濫報��,觸發(fā)了主動的阻斷響應(yīng)��,用戶的正常業(yè)務(wù)就有可能受到影響���,這是所有用戶都不愿意看到和接受的����。正是這個原因�,導(dǎo)致了IPS概念在0
4、5年之前的國內(nèi)市場表現(xiàn)平淡���?����! ‰S著時間的推進�����,自2006年起����,大量的國外廠商的IPS產(chǎn)品進入國內(nèi)市場,各本土廠商和用戶都開始重新關(guān)注起IPS這一并不新鮮的“新”概念�����?! PS到底是什么? “IPS可以阻斷攻擊,這正是IDS所做不了的��,所以IPS是IDS的升級�����,是IDS的替代品”����,可能很多人都會有這種看法����。 我們先來看IPS的產(chǎn)生原因: A:串行部署的防火墻可以攔截低層攻擊行為��,但對應(yīng)用層的深層攻擊行為無能為力����?! :旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為���,作為防火墻的有益補充�����,但很可惜的是無法實時的阻斷���。 C:IDS和防火墻聯(lián)動:通過ID
5�、S來發(fā)現(xiàn),通過防火墻來阻斷���。但由于迄今為止沒有統(tǒng)一的接口規(guī)范�,加上越來越頻發(fā)的“瞬間攻擊”(一個會話就可以達成攻擊效果�����,如SQL注入���、溢出攻擊等)�����,使得IDS與防火墻聯(lián)動在實際應(yīng)用中的效果不顯著����。于是就有下面的一種想法?���! ???????????????????????????????????????????????????IPS的起源 這就是IPS產(chǎn)品的起源:一種能防御防火墻所不能防御的深層入侵威脅(入侵檢測技術(shù))的在線部署(防火墻方式)安全產(chǎn)品?! 《鵀槭裁磿羞@種需求呢?是由于用戶發(fā)現(xiàn)了一些無法控制的入侵威脅行為,這也正是IDS的作用��?����! ∪肭謾z測系統(tǒng)(ID
6����、S)對那些異常的�、可能是入侵行為的數(shù)據(jù)進行檢測和報警,告知使用者網(wǎng)絡(luò)中的實時狀況�,并提供相應(yīng)的解決、處理方法��,是一種側(cè)重于風(fēng)險管理的安全產(chǎn)品?���! ∪肭址烙到y(tǒng)(IPS)對那些被明確判斷為攻擊行為,會對網(wǎng)絡(luò)�����、數(shù)據(jù)造成危害的惡意行為進行檢測和防御���,降低或是減免使用者對異常狀況的處理資源開銷��,是一種側(cè)重于風(fēng)險控制的安全產(chǎn)品���。 這也解釋了IDS和IPS的關(guān)系�,并非取代和互斥,而是相互協(xié)作:沒有部署IDS的時候���,只能是憑感覺判斷�,應(yīng)該在什么地方部署什么樣的安全產(chǎn)品�,通過IDS的廣泛部署,了解了網(wǎng)絡(luò)的當(dāng)前實時狀況���,據(jù)此狀況可進一步判斷應(yīng)該在何處部署何類安全產(chǎn)品(IPS等)�����。IPS
7����、應(yīng)該看重那些方面的功能? 有些人認(rèn)為:“IPS應(yīng)該具備各種擴展功能,ACL�、路由、NAT�����,一個都不能少”���。“IPS最重要的就是性能了�,其他的都不重要”?! ∪肭址烙到y(tǒng)作為串接部署的設(shè)備,確保用戶業(yè)務(wù)不受影響是一個重點����,錯誤的阻斷必定意味著影響正常業(yè)務(wù)����,在錯誤阻斷的情況下�����,各種所謂擴展功能�����、高性能都是一句空話�。這就引出了IPS設(shè)備所應(yīng)該關(guān)心的重點——精確阻斷,即精確判斷各種深層的攻擊行為����,并實現(xiàn)實時的阻斷?�! 【_阻斷解決了自IPS概念出現(xiàn)以來用戶和廠商的最大困惑:如何確保IPS無誤報和濫報����,使得串接設(shè)備不會形成新的網(wǎng)絡(luò)故障點? 而作
