入侵檢測系統(tǒng)與入侵防御系統(tǒng)區(qū)分-09-0415:38:12

作者:未知

起源:HYPERLINKCNET中國關鍵字:入侵防御系統(tǒng)入侵檢測系統(tǒng)IPS特征匹配IDS攻擊安全策略用戶網(wǎng)絡布署1.入侵檢測系統(tǒng)(IDS)IDS是英文“IntrusionDetectionSystems”縮寫,漢字意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依據(jù)一定安全策略,對網(wǎng)絡、系統(tǒng)運行情況進行監(jiān)視,盡可能發(fā)覺多種攻擊企圖、攻擊行為或者攻擊結果,以確保網(wǎng)絡系統(tǒng)資源機密性、完整性和可用性。我們做一個比方——假如防火墻是一幢大廈門鎖,那么IDS就是這幢大廈里監(jiān)視系統(tǒng)。一旦小偷進入了大廈,或內(nèi)部人員有越界行為,只有實時監(jiān)視系統(tǒng)才能發(fā)覺情況并發(fā)出警告。與防火墻不一樣是,IDS入侵檢測系統(tǒng)是一個旁路監(jiān)聽設備,沒有也不需要跨接在任何鏈路上,無須網(wǎng)絡流量流經(jīng)它便能夠工作。所以,對IDS布署唯一要求是:IDS應該掛接在全部所關注流量都必需流經(jīng)鏈路上。在這里,“所關注流量”指是來自高危網(wǎng)絡區(qū)域訪問流量和需要進行統(tǒng)計、監(jiān)視網(wǎng)絡報文。IDS在交換式網(wǎng)絡中位置通常選擇為:盡可能靠近攻擊源、盡可能靠近受保護資源。這些位置通常是:服務器區(qū)域交換機上;Internet接入路由器以后第一臺交換機上;關鍵保護網(wǎng)段局域網(wǎng)交換機上。2.入侵防御系統(tǒng)(IPS)IPS是英文“IntrusionPreventionSystem”縮寫,漢字意思是入侵防御系統(tǒng)。伴隨網(wǎng)絡攻擊技術不停提升和網(wǎng)絡安全漏洞不停發(fā)覺,傳統(tǒng)防火墻技術加傳統(tǒng)IDS技術,已經(jīng)無法應對部分安全威脅。在這種情況下,IPS技術應運而生,IPS技術能夠深度感知并檢測流經(jīng)數(shù)據(jù)流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網(wǎng)絡帶寬資源。對于布署在數(shù)據(jù)轉發(fā)路徑上IPS,能夠依據(jù)預先設定安全策略,對流經(jīng)每個報文進行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關聯(lián)分析等）,假如一旦發(fā)覺隱藏于其中網(wǎng)絡攻擊,能夠依據(jù)該攻擊威脅等級立刻采取抵御方法,這些方法包含（根據(jù)處理力度）:向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次TCP連接。進行了以上分析以后,我們能夠得出結論,辦公網(wǎng)中,最少需要在以下區(qū)域布署IPS,即辦公網(wǎng)與外部網(wǎng)絡連接部位（入口/出口）;關鍵服務器集群前端;辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域,能夠依據(jù)實際情況與關鍵程度,酌情布署。3.IPS與IDS區(qū)分、選擇IPS對于初始者來說,是位于防火墻和網(wǎng)絡設備之間設備。這么,假如檢測到攻擊,IPS會在這種攻擊擴散到網(wǎng)絡其它地方之前阻止這個惡意通信。而IDS只是存在于你網(wǎng)絡之外起到報警作用,而不是在你網(wǎng)絡前面起到防御作用。IPS檢測攻擊方法也與IDS不一樣。通常來說,IPS系統(tǒng)都依靠對數(shù)據(jù)包檢測。IPS將檢驗入網(wǎng)數(shù)據(jù)包,確定這種數(shù)據(jù)包真正用途,然后決定是否許可這種數(shù)據(jù)包進入你網(wǎng)絡?，F(xiàn)在不管是從業(yè)于信息安全行業(yè)專業(yè)人士還是一般用戶,都認為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品,并不存在入侵防御系統(tǒng)要替換入侵檢測系統(tǒng)可能。但因為入侵防御產(chǎn)品出現(xiàn),給用戶帶來新迷惑:到底什么情況下該選擇入侵檢測產(chǎn)品,什么時候該選擇入侵防御產(chǎn)品呢?從產(chǎn)品價值角度講:入侵檢測系統(tǒng)重視是網(wǎng)絡安全情況監(jiān)管。入侵防御系統(tǒng)關注是對入侵行為控制。與防火墻類產(chǎn)品、入侵檢測產(chǎn)品能夠實施安全策略不一樣,入侵防御系統(tǒng)能夠實施深層防御安全策略,即能夠在應用層檢測出攻擊并給予阻斷,這是防火墻所做不到,當然也是入侵檢測產(chǎn)品所做不到。從產(chǎn)品應用角度來講:為了達成能夠全方面檢測網(wǎng)絡安全情況目,入侵檢測系統(tǒng)需要布署在網(wǎng)絡內(nèi)部中心點,需要能夠觀察到全部網(wǎng)絡數(shù)據(jù)。假如信息系統(tǒng)中包含了多個邏輯隔離子網(wǎng),則需要在整個信息系統(tǒng)中實施分布布署,即每子網(wǎng)布署一個入侵檢測分析引擎,并統(tǒng)一進行引擎策略管理以及事件分析,以達成掌控整個信息系統(tǒng)安全情況目。而為了實現(xiàn)對外部攻擊防御,入侵防御系統(tǒng)需要布署在網(wǎng)絡邊界。這么全部來自外部數(shù)據(jù)必需串行經(jīng)過入侵防御系統(tǒng),入侵防御系統(tǒng)即可實時分析網(wǎng)絡數(shù)據(jù),發(fā)覺攻擊行為立刻給予阻斷,確保來自外部攻擊數(shù)據(jù)不能經(jīng)過網(wǎng)絡邊界進入網(wǎng)絡。入侵檢測系統(tǒng)關鍵價值在于經(jīng)過對全網(wǎng)信息分析,了解信息系統(tǒng)安全情況,進而指導信息系統(tǒng)安全建設目標以及安全策略確立和調整,而入侵防御系統(tǒng)關鍵價值在于安全策略實施—對黑客行為阻擊;入侵檢測系統(tǒng)需要布署在網(wǎng)絡內(nèi)部,監(jiān)控范圍能夠覆蓋整個子網(wǎng),包含來自外部數(shù)據(jù)以及內(nèi)部終端之間傳輸數(shù)據(jù),入侵防御系統(tǒng)則必需布署在網(wǎng)絡邊界,抵御來自外部入侵,對內(nèi)部攻擊行為無能為力。明確了這些區(qū)分,用戶就能夠比較理性進行產(chǎn)品類型選擇:若用戶計劃在一次項目中實施較為完整安全處理方案,則應同時選擇和布署入侵檢測系統(tǒng)和入侵防御系統(tǒng)兩類產(chǎn)品。在全網(wǎng)布署入侵檢測系統(tǒng),在網(wǎng)絡邊界點布署入侵防御系統(tǒng)。若用戶計劃分布實施安全處理方案,能夠考慮先布署入侵檢測系統(tǒng)進行網(wǎng)絡安全情況監(jiān)控,后期再布署入侵防御系統(tǒng)。若用戶僅僅關注網(wǎng)絡安全情況監(jiān)控(如金融監(jiān)管部門,電信監(jiān)管部門等),則可在目標信息系統(tǒng)中布署入侵檢測系統(tǒng)即可。明確了IPS根本功效是深層防御、正確阻斷后,IPS未來發(fā)展趨勢也就明朗化了:不停豐富和完善IPS能夠正確阻斷攻擊種類和類型,并在此基礎之上提升IPS產(chǎn)品設備處理性能。而在提升性能方面存在一個悖論就是:需提升性能,除了在軟件處理方法上優(yōu)化外,硬件架構設計也是一個非常關鍵方面,現(xiàn)在ASIC/NP等高性能硬件,都是采取嵌入式指令+專用語言開發(fā),將已知攻擊行為特征固化在電子固件上,即使能提升匹配效率,但在攻擊識別靈活度上過于死板(對變種較難發(fā)覺),在新攻擊特征更新上有所滯后(需做特征編碼化)。而基于開放硬件平臺IPS因為采取是高級編程語言,不存在變種攻擊識別和特征更新方面問題,廠商最新產(chǎn)品已經(jīng)能夠達成電信級骨干網(wǎng)絡流量要求,比如McAfee企業(yè)推出電信級IPS產(chǎn)品M8000（10Gbps流量）、M6050（