论文部分内容阅读
摘 要:本文对市场上流行的两种不同的安全系统IDS和IPS的特点以及应用和部署范围做了较为深入的剖析,并分析了未来IPS与IDS的发展方向。
关键词:IPS;IDS;特点;发展方向
目前安全市场存在两种不同的安全系统,一种IDS,一种IPS。这两种产品在业界讨论基本结束,IDS和IPS是两个独立的市场,入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能,那么我们如何来面对IDS和IPS两种不同的系统呢?
一、两种系统的不同特点
1.IDS
IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时会对系统的运行和稳定性造成影响;而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响。如果把防火墙比作大门警卫的话,IDS就是网络中不间断地摄像机。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现来自外部的攻击,也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。IDS系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理;识别违反安全策略的用户活动。
2.IPS
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序,使之能够避免那些还不存在签名的、普通的攻击。
二、IPS与IDS比较
准确地讲,IPS与IDS都基于检测技术,但前者是通过检测来防护,后者是基于检测来监控,两者在安全工作中发挥着不同的作用。下面看看两者的几点不同:
(1)使用方式不同:IPS是串行链路安装,是网关控制类产品,只关注串行线路上的入侵防御;IDS是旁路安装,是安全检测、监控分析类产品,其检测与关联的面更广,并帮助用户发现、了解、统计、分析入侵威胁状况。前者重控制,后者重管理。
(2)设计思路不同:由于IPS在线工作,相比IDS而言,IPS增加数据转发环节,这对系统资源是一个新消耗。要保障IPS数据处理效率,IPS必须与IDS资源分配重心不同,为了降低在线等待时间,IPS事件响应机制要比IDS更精确、更迅速,而误报高、响应慢的事件在IPS没有存在的意义。同时IPS中统计分析、报表呈现等管理特性为提升效率也必须作出一定的让步。所以若厂家的IPS与IDS的检测事件库相冲突,则说明IPS效率未达到最优状态。
(3)发展目标不同:IPS重在深层防御,追求精确阻断,是防御入侵的最佳方案,弥补防火墙或IDS对入侵数据实时阻断效果的不足。在提升性能效率的同时,必须不断地追求精确识别攻击的能力、抗躲避能力,没有误阻断的深层防御才算有效,否则防御的代价就是影响正常业务。IDS重在全面检测,追求有效呈现,是了解入侵状况的最佳方案,会长期存在且不断发展。
(4)产品价值不同:IDS注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁、这些威胁的来源以及进入信息系统的途径、信息系统对这些威胁的抵御能力如何等方面的信息。IPS关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在IPS中实施边界防护安全策略。
(5)产品应用不同:为了达到可以全面检测网络安全状况的目的,IDS需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,IPS需要部署在网络的边界。这样所有来自外部的数据必须串行通过IPS,IPS即可实时分析网络数据,一发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。如上分析,IDS的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而IPS的核心价值在于安全策略的实施——对黑客行为的阻击;IDS需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,IPS则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
三、如何选择IDS还是IPS
若计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。若计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。若仅仅关注网络安全状况的监控,则在目标信息系统中部署入侵检测系统即可。
防护与监控本是安全建设中相辅相成的两个方面,只有IDS并不能很好地实时防御入侵,但只有IPS就不能全面了解入侵防御改善的状况。IPS与IDS虽然来源于同样的检测技术基础,但其功能方向却分在两个方向上,其在网络中的地位是不可相互替代的。对于IPS与IDS的今后发展,应最大程度地保持现状,使二者将来逐步走向统一。
关键词:IPS;IDS;特点;发展方向
目前安全市场存在两种不同的安全系统,一种IDS,一种IPS。这两种产品在业界讨论基本结束,IDS和IPS是两个独立的市场,入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能,那么我们如何来面对IDS和IPS两种不同的系统呢?
一、两种系统的不同特点
1.IDS
IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时会对系统的运行和稳定性造成影响;而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响。如果把防火墙比作大门警卫的话,IDS就是网络中不间断地摄像机。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现来自外部的攻击,也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。IDS系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理;识别违反安全策略的用户活动。
2.IPS
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序,使之能够避免那些还不存在签名的、普通的攻击。
二、IPS与IDS比较
准确地讲,IPS与IDS都基于检测技术,但前者是通过检测来防护,后者是基于检测来监控,两者在安全工作中发挥着不同的作用。下面看看两者的几点不同:
(1)使用方式不同:IPS是串行链路安装,是网关控制类产品,只关注串行线路上的入侵防御;IDS是旁路安装,是安全检测、监控分析类产品,其检测与关联的面更广,并帮助用户发现、了解、统计、分析入侵威胁状况。前者重控制,后者重管理。
(2)设计思路不同:由于IPS在线工作,相比IDS而言,IPS增加数据转发环节,这对系统资源是一个新消耗。要保障IPS数据处理效率,IPS必须与IDS资源分配重心不同,为了降低在线等待时间,IPS事件响应机制要比IDS更精确、更迅速,而误报高、响应慢的事件在IPS没有存在的意义。同时IPS中统计分析、报表呈现等管理特性为提升效率也必须作出一定的让步。所以若厂家的IPS与IDS的检测事件库相冲突,则说明IPS效率未达到最优状态。
(3)发展目标不同:IPS重在深层防御,追求精确阻断,是防御入侵的最佳方案,弥补防火墙或IDS对入侵数据实时阻断效果的不足。在提升性能效率的同时,必须不断地追求精确识别攻击的能力、抗躲避能力,没有误阻断的深层防御才算有效,否则防御的代价就是影响正常业务。IDS重在全面检测,追求有效呈现,是了解入侵状况的最佳方案,会长期存在且不断发展。
(4)产品价值不同:IDS注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁、这些威胁的来源以及进入信息系统的途径、信息系统对这些威胁的抵御能力如何等方面的信息。IPS关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在IPS中实施边界防护安全策略。
(5)产品应用不同:为了达到可以全面检测网络安全状况的目的,IDS需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,IPS需要部署在网络的边界。这样所有来自外部的数据必须串行通过IPS,IPS即可实时分析网络数据,一发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。如上分析,IDS的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而IPS的核心价值在于安全策略的实施——对黑客行为的阻击;IDS需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,IPS则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
三、如何选择IDS还是IPS
若计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。若计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。若仅仅关注网络安全状况的监控,则在目标信息系统中部署入侵检测系统即可。
防护与监控本是安全建设中相辅相成的两个方面,只有IDS并不能很好地实时防御入侵,但只有IPS就不能全面了解入侵防御改善的状况。IPS与IDS虽然来源于同样的检测技术基础,但其功能方向却分在两个方向上,其在网络中的地位是不可相互替代的。对于IPS与IDS的今后发展,应最大程度地保持现状,使二者将来逐步走向统一。