IDS与IPS功能分析
本文主要对比分析了入侵检测系统、 入侵防御系统以及 “防火墙+入侵检测系统” 联动防护机制这三种网络安全方案,讨论了其优缺点和未来发展方向。
本文主要对比分析了入侵检测系统、 入侵防御系统以及 “防火墙+入侵检测系统” 联动防护机制这三种网络安全方案,讨论了其优缺点和未来发展方向
1. IDS的主要不足和IPS的主要优势
1.1 IDS的主要不足
(1)误报、漏报率高
IDS系统在识别 “大规模组合式、 分布式入侵攻击” 方面,还没有较好的解决方法,误报与漏报现象严重。 误报使得大量的报警事件分散管理员的精力, 反而无法对真正的攻击作出反应。 与误报相对应的是漏报, 随着攻击方法的不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
(2)没有主动防御能力
IDS技术采用了一种预设置式、 特征分析式工作原理, 所以检测规则的更新总是落后于攻击手段的更新, 无法主动发现网络中的安全隐患和故障。 另外, IDS只是检测和报警, 并不具有真正的防御和阻止攻击的能力,在报警的同时, 攻击已经发生了。
(3)不能解析加密数据流
对于加密的通信来说,IDS是无能为力的。
1.2 IPS的主要优势
与IDS相比,IPS具有以下优势。
(1)同时具备检测和防御功能IPS 不仅能检测攻击还能阻止攻击, 做到检测和防御兼顾,而且是在入口处就开始检测, 而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。
(2)可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能, 弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足, 填补了网络安全产品基于内容的安全检查的空白。
(3) IPS是一种失效既阻断机制当IPS被攻击失效后, 它会阻断网络连接, 就像防火墙一样, 使被保护资源与外界隔断。
2 防火墙和IDS互动技术
2.1 通过开放接口实现互动防火墙或IDS产品开放一个接口供对方调用,按照一定的协议进行通信,传输警报。 防火墙可以行使它第一层防御
功能——访问控制,IDS可以行使它第二层防御功能——检测入侵,丢弃恶意通信,并通知防火墙进行阻断。
2.2 紧密集成实现互动把IDS与防火墙集成到同一个硬件平台上,在统一的操作系统管理下有序地运行。 所有通过该硬件平台的数据不仅要接受防火墙规则的验证,还要被检测判断是否有攻击, 以达到真正的实时阻断。
3.网络安全设备发展趋势
网络安全设备安全功能的融合是大势所趋, IPS的提出顺应了这一潮流。对于IPS的发展前景以及IPS能否真正取代IDS的问题,一般结论认为:
(1)IPS近期不会取代IDS随着企业网络结构的不断扩大和日益复杂, 由内部员工违规引起的安全问题变得突出起来,防火墙、 防病毒等常规
的安全手段只能对付外部入侵, 对于内部违规行为却无能为力。 而IDS可以审计跟踪内部违反安全策略的行为。 另外, IDS可以记录、报警各种安全事件, 有利于进行安全审计和事后追踪, 对于追溯和阻止拒绝服务攻击能够提供有价值的线索。所以在安全等级要求很高的证券、银行以及电信的网络中,均能看到IDS的身影。
(2) “IDS + 防火墙” 的联动防护机制与IPS会在今后相当长的时间内并存, 但IPS的发展势头会更好一些。IPS并不是防火墙的替代者, 当前, IPS与防火墙的互补作用还是十分明显的, 防火墙负责提供OSI第4层以下的基本安全环境和高速转发能力, 而IPS负责OSI第4层层流量的细粒度控制。 随着时间的推移, IPS将会像防火墙一样成为4~7层的深层检测防火墙, 作为网络入口的第二道阀门。