论文部分内容阅读
IPS原理框架图
IPS(Intrusion Prevention System,入侵防御系统),从概念到产品已有数年,其技术与产品也一直在逐步成熟,而今在性能不断提升稳定之后,IPS与IDS(Intrusion Detection Systems,入侵检测系统)这对同领域产品的冤家兄弟当如何共存?俗话说“青出于蓝胜于蓝”,但是青能替代蓝么?
从检测到防御
信息安全受到企业用户重视之初,IDS就已经是安全“老三样”的一员。
IDS本质是一种监听系统,它依照一定的安全策略,对网络与系统的运行状况进行监测,自动发现、报告、记录各种攻击企图、攻击行为或者攻击结果,以保证信息系统的机密性、完整性和可用性。IDS可分为主机型(HIDS)和网络型(NIDS)两类产品,目前主流IDS产品均采用两者有机结合的混合型架构。
然而,随着网络威胁的增多,IDS也显出其局限性。首先,被动防御的监听方式限制了阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击,对于建立在UDP基础之上的攻击则无能为力;其次,由于缺少信息管理,难于抵挡Canvas和MetaSploit等欺骗工具的攻击和渗透,基于特征的入侵检测技术已经落伍;再次,有些IDS产品每天会产生大量的异常报告,其中绝大多数属于非攻击行为,导致误报与漏报率高于客户预期;最后,由于HIDS安装于检测主机之上,不仅消耗检测对象的部分資源,影响到被检测主机的效率,而且还必须对不同的主机及其系统环境设计和安装各自的HIDS,以致对于检测主机存在依赖性。
正是IDS在主动防御和实用性方面的缺陷,使与其仅有一字之差的入侵防御系统应运而生。实时检测与主动防御是IPS最为核心的设计理念。
IPS成防护尖兵
提到IPS,人们往往会简单将IPS与“Firewall IDS”划上等号。也有人认为,将IDS的传感器置于网络通信线路之中,让所有网络通信数据通过它,这样就得到了一台IPS。这两种看法虽然比较偏颇,却不约而同道出一个事实:IPS来自IDS。但是,青出于蓝却胜于蓝,经过对IDS功能的打散重造与延伸,IPS已经与IDS有了质的区别。
目前,从保护对象上可将IPS分为三类,其一是基于主机的入侵防护(HIPS),用于保护服务器和主机系统不受黑客的攻击和破坏;其二是基于网络的入侵防护(NIPS),通过检测经过的网络数据流,提供对网络体系的安全保护,一旦辨识出入侵行为,NIPS就阻断该网络会话;其三是应用入侵防护(AIPS),是将基于主机的入侵防护设备扩展成为位于应用服务器之前的网络安全防护设备。
实时检测与主动防御是IPS最为核心的设计理念,也是其区别于防火墙和IDS的立足之本。为实现自身的立足,IPS在如下五个方面实现了技术突破:
在线安装 IPS保留IDS实时检测的技术与功能,但是却采用了防火墙式的在线安装,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认安全后,再通过另外一个端口将它传送到内部系统中。
实时阻断 IPS具有强有力的实时阻断功能,能够预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
先进的检测技术 主要是并行处理检测和协议重组分析。所谓并行处理检测,是指所有流经IPS的数据包都采用并行处理方式进行过滤器匹配,实现在一个时钟周期内,经过硬件级预处理,完成数据包的重组,确定其具体应用协议,然后,根据不同应用协议的特征与攻击方式,IPS对于重组后的包进行筛选,将可疑者送入专门的特征库进行比对,从而提高检测的效率。
特殊规则植入功能 IPS允许植入特殊规则以阻止恶意代码。IPS能够辅助实施可接收应用策略,如禁止使用对等的文件共享应用和占有大量带宽的免费互联网通信应用等。
自适应能力 为了应对黑客处心积虑、花样翻新的攻击手段,IPS必须具有人工智能的自学习与自适应能力。能够根据所在网络的通信环境和被入侵状况,分析和抽取新的攻击特征以更新特征库,自动总结经验,定制新的安全防御策略。
尽管有很多优点,IPS也并不完美。总体成本较高(相对较大的高可用性实时计算需求决定了IPS必须选用高端的专用计算设备),只是制约IPS目前广泛应用的瓶颈之一,另外单点故障、性能瓶颈、误报与漏报等问题,也都局限着IPS普及的阻碍。
取代还是互补
IPS既具有IDS的检测功能,又能够主动阻断攻击行为,业界就曾经出现过这种看法——IPS取代IDS顺理成章,势在必行。但是,从理论和实践相结合的观点分析,由于IPS的局限性和IPS与IDS之间在整体解决方案中的共生性与互补性,目前IPS尚无法或者没有必要取代IDS。
美国网络世界实验室联盟成员Joel Snyder认为,未来将是混合技术的天下,在网络边缘和内部进行检测,遍布在网络上的传感设备和控制管理设备的通力协作,将是安全应用的主流。ISS公司大中国区总经理黄德荣也认为,对于IPS和IDS,二者在技术上能够一定程度地相互渗透和融合,尤其是IPS向下兼容IDS将是未来的一个趋势。
从二者的特点分析,IDS是一个检测和发现为特征的技术行为,追求不漏数据包、不出现错误分析的过程,最大程度实现低漏报率和误报率。IPS具备从网络到主机的主动防御能力,讲的是主动出击,快速阻断。当前IPS能够解决准确单包检测和高速传输等问题,对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效检测和及时阻断,但因为受到检测技术、传输技术、芯片技术等多方面的约束,对于更为复杂的攻击就难以应对。不难理解,IDS的进步将改善IPS的检测功能,而IPS的发展也必将推动IDS保护功能的进一步完善。因此,提高检测的精确性和走向检测与访问控制相融合,是IPS与IDS的共同基础和目标之所在。
链 接:Proventia 网络入侵防护系统
Proventia 网络入侵防护系统(NIPS)GX3002产品将业界前瞻性安全防护延技术伸到远端网络及中小企业使用,保护远端设备及用户的信息使用安全,免受攻击。
Proventia GX3002提供价格低廉、安全可靠、易于安装管理以及高效能的功能给中小企业及企业分支机构使用,既能减少企业对安全专业人员的投资,又达到安全防护的效果。
Proventia GX3002网络入侵防护系统,可在不影响网络运行效能的同时,实时分析封包冗余,并自动阻断网络上恶意的攻击活动与拒绝服务攻击行为。
Proventia GX3002可以阻挡已知与未知的攻击行为,包括DoS、DDoS、后门程序以及混合型攻击手法。其主动防御功能,可以有效地节省管理者投入的资金与人力。通过中央控管平台,Proventia GX3002可与其他安全产品进行集中管理,共同提供企业网络、服务器以及个人电脑的安全。