首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>网络安全>文章内容
入侵防御系统IPS,苹果熟了吗
来源:每周电脑报 作者:王琨月 发布时间:2005-10-28  

入侵防御系统IPS,苹果熟了吗?

IPS(入侵防御系统)提出了多年,一直有个声音认为IPS会取代IDS(入侵检测系统),但是几年过去了,情况并非如此,那么IPS 目前到底处于什么状态呢?

据调查,目前59%的用户部署了IDS,27%的用户将IDS列入购买计划,62% 用户在关注 IPS,并且7%的用户有意向购买 IPS,这些数据表明,IDS和IPS 在国内都呈现出繁荣发展的前景。

这与几年前一些研究机构预计的“IPS将逐步取代IDS”的看法截然不同。IPS 既没有得到 “一览众山小”的市场局面,IDS 也没有“节节败退”,是什么原因使得人们的预测出现了如此大的偏差呢?要想找出其中的原因,不得不从研究历史出发,看看IDS 和IPS 都是如何发展的。

需求决定IDS 不会消沉

安全防护是一个多层次的保护机制,它既包括企业的安全策略,又包括防火墙、防病毒、入侵检测等产品技术解决方案。而且,为了保障网络安全,还必须建立一套完整的安全防护体系,进行多层次、多手段的检测和防护。IDS正是构建安全防护体系不可缺少的一环。

虽然有很多用户对IDS 是否具有存在价值表示过质疑,但到目前为止,更多的用户是在关注如何最大程度地发挥IDS 的作用,来保障网络的安全。

据市场统计显示,2005 年 IDS 可以占到安全市场全年总额的11.2%,市场销售额达到5. 5亿元。而2004 年国内IDS产品全年销售额是3.8亿元,占中国网络安全市场全年市场份额的 10.9%。2003 年IDS的市场销售额是2.75亿元。可以看出,随着国内用户的成熟,IDS在网络安全市场中也是处在一个稳定的发展阶段。在这种情况下,谁能说IDS的市场会江山不再呢?

促使IDS 得到广泛应用的另一个因素是,Slammer、冲击波等针对系统漏洞的攻击不断增多,新的软件漏洞不断被发现,一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中,从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短,用户需要一种可以检测攻击的有效工具,IDS 就是其中的一种。
自身改进打破IDS 灭亡论

虽然前一时间IPS取代IDS 的呼声日渐高涨,而且Gartner 发表的“IDS将死”言论更是让这两种技术的争斗达到了白热化,但在国内,IDS还没有受到 “灭亡论”的太大影响,这主要是因为IDS不断地进行着改造。目前的IDS 技术是需要有比较大的改进才能满足客户的需要,可能需要细分市场做出不同的产品来满足不同的客户。

从安全厂商来看,安氏中国、绿盟科技、McAfee、天融信、方正、冠群金辰、联想、东软、中科网威、启明星辰等众多厂商都有多款百兆和千兆的 IDS 产品。从对这些主流IDS 产品的评测来看,IDS 产品在性能方面也是不断进步的。比如, 2002 年——2003 年的百兆IDS 产品,在64 字节100%压力下平均检测能力仅有40.2%,而2003 年——2004年,部分百兆IDS 产品检测能力已达到100%,这标志着百兆IDS 产品在性能方面已经成熟。

而千兆IDS 产品的性能也有了长足的发展,捕获数据包的能力每秒67 万——85 万,最高可达140 多万,对大流量网络的适应能力明显增强。还有在功能方面,部分IDS 产品几年前就具备了网络流量分析、页面重组、内容恢复、事件回放等功能,如今不仅功能更为完善多样,而且功能的模块化也更有利于用户根据实际需要进行定制和应用。

近年来,IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中,我们都能发现IDS的身影。某证券公司的IT主管谈到:“随着企业网络结构的不断扩大和日益复杂,由内部员工违规引起的安全问题变得突出起来,防火墙、防病毒等常规的安全手段只能对付外部入侵,对于内部违规行为却无能为力。而IDS 可以审计跟踪内部违反安全策略的行为。另外,IDS 可以记录、报警各种安全事件,有利于进行安全审计和事后追踪,对于追溯和阻止拒绝服务攻击能够提供有价值的线索。”

IDS 缺陷成就IPS

不过我们同时也看到,也有很多用户反应IDS 带来的麻烦大于贡献。有用户反映,IDS 的误报率太高,只要一开机,警报便响个不停,在每天发出的上万条的报警信息中,真正有价值的信息却寥寥无几,而从上万条信息中挖掘出有用信息费时又费力,通常需要设立专人负责管理IDS,这在缺乏IT人才的企业中是很不现实的。
想要解决误报和漏报的问题,要综合运用多种检测机制,包括特征对比、协议异常分析等技术,同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。 未来的IDS还需要面向宽带高速实时的网络环境,引入数据挖掘、分布式部署、免疫和神经网络技术,并且适应 IPv6 的技术要求。

很多用户希望IDS 能够增加主动阻断攻击的能力,在危害出现时能够直接将其阻断。用户的这种希望并不是空穴来风,而是与当前的安全形势息息相关。

系统漏洞屡屡被攻击,主动防御和应用安全的压力从来没有如此凸显过。一方面系统的复杂性在不断提高,几乎每周都会有系统缺陷被发现;另一方面利用高危缺陷进行入侵和传播的攻击技术也在快速发展,用户需要一种能够实时阻断攻击的安全技术。 从工作原理上来看, IDS技术属于被动式的反应式技术,这种技术在安全威胁传播速度较慢时并没有显现出太大问题,随着威胁传播速度的加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,于是喊着主动防御口号的IPS得到了一定的市场机会。

IPS 靠主动防御抢占市场

混合威胁不断发展,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全。真正的深层防护体系不仅能够发现恶意代码,而且还能够主动地阻止恶意代码的攻击。在当前混合威胁盛行的时代,只有深层防护才可以确保网络的安全。而IPS(入侵防护系统)则是提供深层防护体系的保障。 IPS的出现可谓是企业网络安全的革命性创新。

从技术的同源性上来看, IPS 和IDS之间有着千丝万缕的必然联系,IPS 可以被视作是增加了主动阻断功能的IDS。例如 McAfee 的IntruShield 以在线方式接入网络时就是一台IPS,而以旁路方式接入网络时就是一台IDS。但是,IPS 绝不仅仅是增加了主动阻断的功能,而是在性能和数据包的分析能力方面都比IDS 有了质的提升。

由于增加了主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍,Juniper 在IDP(Juniper 将自己的入侵防护产品命名为IDP) 中使用包括状态签名、协议异常、后门检测、流量异常、网络蜜罐、哄骗检测、第二层攻击检测、同步泛洪检测、混合式攻击检测在内的“多重检测技术”,以提高检测和阻断的准确程度。Juniper还在不断增加IDP 能够解析的协议数量,最近将支持50 种协议增加到60多种,不断为防止新型攻击开发新的检测方法。
除了检测机制外,IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS 能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。 McAfee、Juniper、ISS同时都在 IPS 中提供了调优机制,使IPS 通过自学习提高检测的准确性。

引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标,所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee 也于日前收购了从事漏洞研究的 Foundstone公司,致力于把漏洞分析技术与入侵防护技术结合起来,使关键资源得到主动防护。Juniper设有一个专门的安全小组,密切关注新的系统弱点和蠕虫,每周都会发布攻击签名和基于严重等级的紧急签名更新, Juniper 提供的攻击签名是基于弱点和安全漏洞,而不仅仅是黑客已经使用并且造成破坏的安全弱点。

McAfee 公司北亚区技术总监陈联认为,目前严重的安全事件大多数是由缓冲区溢出所导致,所以McAfee 在自己的实验里加强了对溢出型漏洞的研究和跟踪,并且把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。这项缓冲区溢出分析技术使得M c A f e e 的 I P S 设备能够检测七层的数据包,实现对应用的主动保护。

赛门铁克在IPS设备中采用了漏洞阻截技术。通过研究漏洞特征,将其加入到漏洞签名库中,IPS 就可以发现符合漏洞特征的所有攻击流量。冲击波及其变种都利用了RPC(微软操作系统的一个漏洞)漏洞。赛门铁克通过研究并提取RPC 漏洞的特征,组成特征签名并将其推送给 IPS 设备。在公布漏洞和病毒爆发的一段间隔里,用户只需将漏洞特征签名自动下载,就可以在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。

主动防御是安全根本

绝大多数IDS 系统都是被动的,而不是主动性的。在攻击实际发生之前,IDS 往往无法预先发出警报。IPS则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。
现在谈主动防御的很多,这也是IPS 市场启动的根源。但是有专家认为,入侵防护应该是由多种安全设备组成的安全体系共同来实现,而不是由IPS这种设备单独来完成,IPS 只是主动防护的一部分,而不是主动防护的全部。主动防护系统还需要加入应用级防火墙与应用级IDS,应用级的IDS 产品能够重组信息流,跟踪应用会话过程,并准确描述和识别攻击,而应用级的防火墙能够阻断向应用层发起的攻击,保护Web 应用。

IDS、 IPS还将并驾齐驱

在主动防御渐入人心之时,担当网络警卫的IDS 的报警作用更加重要。尽管IDS 功过参半,但是IDS的报警功能仍是主动防御系统所必需的,也许IDS 的产品形式会消失,但是IDS的检测功能并不会因形式的消失而消失,只是逐渐被转化和吸纳到其他的安全设备当中。

IDS 与IPS 技术还会并驾齐驱很长一段时间。据市场研究公司Infonetics Research 发布的数据显示,到2006年,全球IDS/ IPS 市场收入将超过13 亿美元。

其实IDS 的发展道路可以借鉴防火墙的发展。防火墙早期从包过滤,应用代理发展起来,是从网络层应用及应用层解释开始,一步步关心起具体的协议;包过滤更关注分组的包头,应用代理关心分组的有效载荷,状态检测开始关注分组之间的关系;从安全设备发展的角度,这些并未发展到头,因为对有效载荷的分析还比较弱。IDS从特征匹配开始到协议分析,走得也是这条路;只是 IDS走到协议分析,也算是比较深入了,但网络上的应用太复杂了,技术挑战性太大。依照当前的用法与定位,IDS长期很难生存,但它对分组有效载荷的分析有自己的优势,这种技术可以用于所有的网络安全设备。而IPS 其实解决的也是边界安全问题,其实已开始象是防火墙的升级版了。

国外也已经有报道提到 IDS进入网络分析,协助网管软件进行工作,可能是一条比较好的道路(但随着IPv6 的发展,如果网上全是IPSec 包,不知道监听这条路怎么走下去)。

厂商们可以通过IDS 产品进入用户的网络,并随着应急服务以及安全培训逐步介入用户网络的运营,从长期而言(只要核心能力建设起来)可以进入安全运营外包市场(针对大客户)或者安全服务(针对大中客户)。因此,IDS 其实应该发展成服务而非产品模式,这点又与防火墙有极大不同。

由此来看,IDS和IPS 将会有着不同的发展方向和职责定位。IDS 短期内不会消亡,IPS 也不会完全取代IDS的作用。虽然IPS 市场前景被绝大多数人看好,市场成熟指日可待,但要想靠蚕食IDS 市场来扩大市场份额,对于IPS 来说还是很艰难的,如果真是这样,恐怕IPS 要尝尝青涩苹果的滋味了。



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·一句话木马
·samcrypt.lib简介
·教你轻松查看QQ空间加密后的好友
·web sniffer 在线嗅探/online ht
·SPIKE与Peach Fuzzer相关知识
·asp,php,aspx一句话集合
·Cisco PIX525 配置备忘
·用Iptables+Fedora做ADSL 路由器
·检查 Web 应用安全的几款开源免
·Md5(base64)加密与解密实战
·NT下动态切换进程分析笔记
·风险评估中的渗透测试
  相关文章
·Bro NIDS的规则
·简评中小企业网络安全市场
·Snort 2.x数据区搜索规则选项的
·安全成交换机的基本功能
·谁更安全?黑客眼中的 防火墙与
·RedHat linux 9系统下构建小型入
·澄清对Web网站安全性的五个误解
·使用omniORBpy开发简单CORBA程序
·关于网络地址解析协议被攻击的解
·kernel inline hook 绕过vice检
·SQL INJECTION的SQL SERVER安全
·基于DoS攻击的随机数据包标记源
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved