欢迎来到天天文库
浏览记录
ID:9735897
大小:55.50 KB
页数:8页
时间:2018-05-07
《浅析ids与ips:检测与防护的共生与发展》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、浅析IDS与IPS:检测与防护的共生与发展~教育资源库 入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内,IDS和IPS将共同存在。 存在的发展观 IDS与IPS的发展其实非常有意思,因为他们的出现与发展的时间间隔并不长,而且到目前为止,各自都有坚定的用户与支持者,当然,各自的缺点也非常明显。在此,虽然有不少人认为IPS终将取代IDS而成为主流(有些人甚至认为UTM也是IPS的终结者),但记者并不敢全部
2、认同。 在IT产业中,这么多年了,从来没有过技术主导一切的定论,国内也是一样。君不见微软战胜苹果,TCP/IP搞掉OSI,道理很简单:适合的就是最好的。虽然技术很重要,但是也要考虑到用户的接受程度、应用水平与经济能力,尤其是在国内。 记者一直认为,IDS在国内发展的一个重要领域是教育,虽然很多IPS厂商也认为教育是其主要市场,但作为先来者,IDS和很多全网安全方案的结合,帮助了其进一步存活的可能性,当然荷包不足的用户也是其发展的另一个条件。 当然,记者的意思并非IDS将会一路高歌,恰恰相反,
3、很多用户对于发现问题后及时采取行动的呼声与愿望越发高涨,眼下所担忧的仅仅是这种行动不要由于误打误撞而导致灾难。不管怎么说,这种愿望还是造成了眼前IDS与IPS的边界越来越模糊(甚至是和少数初级的UTM)----发现问题,采取一点点用户心理上能够承受的行动。 从防火墙到IDS 其实回忆早前防火墙在国内的应用可以发现,用户对于安全设备的理解与掌握,往往花费的时间都比较长。 现在国内用户对防火墙已经有了很高的认知和应用水平(至少对ACL的配置选择已经不在陌生),并认可了其网络大门的地位。但不可否认
4、,防火墙采用规则匹配的原理,对于内容的控制并不严密。虽然少数高端产品可以对应用协议进行动态分析----边界模糊的另一种证明----,但这样仍不能对进出网络的数据进行分析,特别是对网络内部发生的事件完全无能为力。 Juniper公司的工程师向记者表示,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。因此如果把放火防火墙比作大门警卫的话,IDS就是网络中不间断的摄像机。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的
5、企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案 在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出,当前市场上存在的IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较
6、少。而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。 从技术上说,无论采用HIDS还是NIDS,都能发现对方无法检测到的一些入侵行为,可互为补充,完美的IDS产品应该将两者结合起来。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。 对一个成功的IDS系统来讲,它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的是,IDS大多管理、配
7、置简单,从而使企业人员可以非常容易地获得网络安全。另外,好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变。 IDS系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动等。 另外,一些业内的主流厂商,如Cisco、Checkpoint、ISS以及华为3等,他们
8、一般采用基于模式匹配、异常情况或者完整性分析的判断方法。 对于基于模式匹配的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现,此方法非常类似杀毒软件;而基于异常情况的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验等,然后将系统运行时的数值与所定义的正常情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况;而完整性分析则关注文件或对象是否被篡改,主要根
此文档下载收益归作者所有