过去两年,入侵检测(IDS、技术成为热门话题,去年6月发布了一份非常著名的报告,名为“Gartner”,宣布入侵防御(IPS)将成为掘墓人。到底IPS这个新锐擅长什么,从登上网安舞台时就吸引了这样的实力指数。
据国外安全厂商“NetScreen”的技术专家介绍,针对“IDS”的被动检测和误报等问题,IPS是一种比较主动、机智的防御系统。从功能上讲,作为与网络并行连接的设备,大部分情况下都需要与防火墙联动,或者发送TCPreset包来防止攻击。它可以防止IPS本身入侵的流量
数字科技公司技术专家潘蓉女性更是在技术上,IDS识别系统的“大规模组合、分布式入侵攻击”,更好的方法和成熟的解决方案,误报和漏报的严重现象,用户往往被信息的大量淹没,真是漏报;由于标准不统一,入侵检测系统与防火墙之间难以联动。此外,IDS不仅不能有效采取阻断措施的设计理念报警,更不能满足用户网络安全日益增长的需求。
另一方面,IPS系统没有这样的问题,根据多重检测的结构和粒度的细小的规则设定,能更尖锐地捕捉侵入的流量,在受害发生前切断。潘蓉认为IDS的发展方向有两个明显的趋势。一是面向事件关联和挖掘,实现全网安全事件的集中管理。一是从IDS到IPS,这是市场需求和黑客技术发展的必然趋势。
但IPS是否真的会取代“IDS”。“总参”的一位专家认为,“IDS+防火墙”的联动防护机构和IPS将在未来相当长一段时间内并存,IPS将进一步发展。但是IPS并不是防火墙的替代。至少在目前情况下,提供3-4层基本安全环境和快速传输能力的防火墙与承担4-7层流量小粒度控制的IPS起到了互补作用。
潘蓉补充:其实,在电信级流量的背景下,首先通过高性能的防火墙过滤非法流量会大大减少进入IDP系统的流量。由此,进行4~7层深度检测的负荷大幅减少。此外,许多防火墙无法抵御CodeRed和MyDoom等各种第7层攻击,但IDP产品也可以应对这些攻击。因此,IPS需要作为保护重要流量和应用程序的大型网络的第二层防护。
天刚数码总经理殷树民:安全的关键在于机制,管理,即安全策略,技术是手段,工具。我们在寻求产品时,应该寻求“技术与经营”的融合。为帮助用户做好实施工作,重点是产品推广,NetScreen成立IDPer俱乐部,为促进网络安全理念的主动防范,介绍网络安全的最新技术,推动技术与管理的融合。
随着时间的推移,IPS(IDP)将像防火墙一样成为4-7层的深层检测防火墙,作为进入网络的第二个阀门,它将成为用户不可或缺的网络安全产品。
文章评论