当前位置: Home > IDS/IPS > 文章
|
|
IPS vs. IDS 势不两立还是相辅相成?
|
文章来源: Internet
文章作者: 未知
发布时间: 2006-09-06
字体:
[大
中
小]
|
|
目前,从保护对象上可将IPS分为三类:
基于主机的入侵防护(HIPS),用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏;
基于网络的入侵防护(NIPS),通过检测流经的网络流量,提供对网络体系的安全保护,一旦辨识出入侵行为,NIPS就阻断该网络会话;
应用入侵防护(AIP),是将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。
2.2 IPS不可低估的优势
实时检测与主动防御是IPS最为核心的设计理念,也是其区别于防火墙和IDS的立足之本。为实现这一理念,IPS在如下四个方面实现了技术突破,形成了不可低估的优势:
在线安装(In-Line)。IPS保留IDS实时检测的技术与功能,但是却采用了防火墙式的在线安装,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中;
实时阻断(Real-time Interdiction)。IPS具有强有力的实时阻断功能,能够预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失;
先进的检测技术(Advanced Detection Technology)。主要是并行处理检测和协议重组分析。所谓并行处理检测是指所有流经IPS的数据包,都采用并行处理方式进行过滤器匹配,实现在一个时钟周期内,遍历所有数据包过滤器;而协议重组分析是指所有流经IPS的数据包,必须首先经过硬件级预处理,完成数据包的重组,确定其具体应用协议。然后,根据不同应用协议的特征与攻击方式,IPS对于重组后的包进行筛选,将可疑者送入专门的特征库进行比对,从而提高检测的质量和效率;
特殊规则植入功能(Build-in Special Rule)。IPS允许植入特殊规则以阻止恶意代码。IPS能够辅助实施可接收应用策略(AUP),如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等;
自学习与自适应能力(Self-study & Self-adaptation Ability)。为了应对黑客们处心积虑、花样翻新的攻击手段,IPS必须具有人工智能的自学习与自适应能力。能够根据所在网络的通信环境和被入侵状况,分析和抽取新的攻击特征以更新特征库,自动总结经验,定制新的安全防御策略。
2.3 IPS不可忽视的弱点
有其利必有其弊。IPS的主动防御优势也决定了它的下列弱点:
总体拥有成本(TOC)高。浩大的高可用性(HA)实时计算需求决定了IPS必须选用高端的专用计算设备,但是可观的总体拥有成本却使不少用户望而却步;
单点故障(Single-point Fault)。IPS的阻断能力决定其必须采用网络嵌入模式,而这就可能造成单点故障;
性能瓶颈(Performance Bottle-neck)。即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,因此,绝大多数高端IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器或者ASIC芯片)来提高IPS的运行效率,以减少其对于业务网络的负面影响;
误报(False positive)与漏报(False negatives)后果同样严重。在网络流量几乎成几何级数增加的情况下,一旦生成警报,最基本的要求就是不让“误报”有可乘之机,导致合法流量也很有可能被意外拦截。如果触发了误报警报的流量恰好是来自上级、合作伙伴和客户的重要信息,IPS不仅实施了一次性错误阻断,而且会切断与他们的信息通道,其结果不言而喻。
3. IPS目前不可能取代IDS
我们既要看到IPS蓬蓬勃勃的增长势头,又要承认IDS在入侵检测领域的传统优势,肯定IPS目前尚不可能完全取代IDS的基本事实,在建立自己的网络与信息安全体系的过程中,将两者有机地结合起来。
3.1 IPS增长势头强劲
根据IDC发布的案例,美国的一家财务公司,在全球有12个分支机构,原计划使用多台防火墙并搭配250个许可证的IDS。最终,该公司仅用了30个许可证的IPS产品就实现了全球网络的入侵防御,而管理人员只需要3至4人,效率却提高了6倍以上。
波士顿Sappi Fine报社信息安全总监Jim Cupps说,作为具有10,000桌面设备和数百台基于微软服务器的公司,现在开始使用Determina基于主机的IPS,称之为内存防火墙的专用服务器,主要作为防御蠕虫的附加件。基于行为的内存防火墙能够监测缓冲区溢出攻击,"它并不能替代打补丁,但是它让我们不必立即打补丁,我们战胜了'补丁恐慌’,如果漏洞确实存在,入侵防御系统能够帮忙。"
共4页: 上一页 [1] 2 [3] [4] 下一页
|
|
↑返回顶部
打印本页
关闭窗口↓
|
|
|
|