1、转-IDS 与 IPS 功能分析(2011-04-14 20:17:01) 转载标签: 杂谈分类: 计算机文章 摘要:本文主要对比分析了入侵检测系统、 入侵防御系统以及 “防火墙+入侵检测系统” 联动防护机制这三种网络安全方案,讨论了其优缺点和未来发展方向。本文主要对比分析了入侵检测系统、 入侵防御系统以及 “防火墙+入侵检测系统” 联动防护机制这三种网络安全方案,讨论了其优缺点和未来发展方向1. IDS 的主要不足和 IPS 的主要优势1.1 IDS 的主要不足(1)误报、漏报率高IDS 系统在识别 “大规模组合式、 分布式入侵攻击” 方面,还没有较好的解决方法,误报与漏报现象严重。 误报使
2、得大量的报警事件分散管理员的精力,反而无法对真正的攻击作出反应。与误报相对应的是漏报,随着攻击方法的不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。(2)没有主动防御能力IDS 技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新, 无法主动发现网络中的安全隐患和故障。 另外, IDS 只是检测和报警,并不具有真正的防御和阻止攻击的能力,在报警的同时,攻击已经发生了。(3)不能解析加密数据流对于加密的通信来说,IDS 是无能为力的。1.2 IPS 的主要优势与 IDS 相比,IPS 具有以下优势。(1)同时具备检测和防御功能 IPS 不仅能检测攻
3、击还能阻止攻击,做到检测和防御兼顾,而且是在入口处就开始检测,而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。(2)可检测到 IDS 检测不到的攻击行为 IPS 是在应用层的内容检测基础上加上主动响应和过滤功能,弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足, 填补了网络安全产品基于内容的安全检查的空白。(3) IPS 是一种失效既阻断机制当 IPS 被攻击失效后,它会阻断网络连接, 就像防火墙一样, 使被保护资源与外界隔断。2 防火墙和 IDS 互动技术2.1 通过开放接口实现互动防火墙或 IDS 产品开放一个接口供对方调用,按照一定的协议进行通信,传输警
4、报。防火墙可以行使它第一层防御功能访问控制,IDS 可以行使它第二层防御功能检测入侵,丢弃恶意通信,并通知防火墙进行阻断。2.2 紧密集成实现互动把 IDS 与防火墙集成到同一个硬件平台上,在统一的操作系统管理下有序地运行。所有通过该硬件平台的数据不仅要接受防火墙规则的验证,还要被检测判断是否有攻击,以达到真正的实时阻断。3.网络安全设备发展趋势网络安全设备安全功能的融合是大势所趋, IPS 的提出顺应了这一潮流。对于IPS 的发展前景以及 IPS 能否真正取代 IDS 的问题,一般结论认为:(1)IPS 近期不会取代 IDS 随着企业网络结构的不断扩大和日益复杂,由内部员工违规引起的安全问题
5、变得突出起来,防火墙、防病毒等常规的安全手段只能对付外部入侵,对于内部违规行为却无能为力。而 IDS 可以审计跟踪内部违反安全策略的行为。 另外, IDS 可以记录、报警各种安全事件,有利于进行安全审计和事后追踪,对于追溯和阻止拒绝服务攻击能够提供有价值的线索。所以在安全等级要求很高的证券、银行以及电信的网络中,均能看到 IDS 的身影。(2) “IDS + 防火墙” 的联动防护机制与 IPS 会在今后相当长的时间内并存,但 IPS 的发展势头会更好一些。IPS 并不是防火墙的替代者, 当前, IPS 与防火墙的互补作用还是十分明显的,防火墙负责提供 OSI 第 4 层以下的基本安全环境和高速转发能力,而 IPS 负责 OSI 第 4 层层流量的细粒度控制。 随着时间的推移, IPS 将会像防火墙一样成为 47 层的深层检测防火墙,作为网络入口的第二道阀门。
