IDS与IPS技术大比拼
更新时间:2023-10-27 10:43:01 阅读量: 综合文库 文档下载
- ids ips推荐度:
- 相关推荐
IDS与IPS技术大比拼
自IPS诞生之初,有关于IDS和IPS的各种争论就没有停止过。笔者因长期从事信息安全领域的工作,所以对目前国内众多的IDS和IPS产品进行过深入的调查研究,本文将结合市场上的网络型IDS和IPS的异同谈一谈笔者对IDS、IPS技术发展的看法。
一、概念
首先,从概念上来看,IDS(Intrusion Detection System)即入侵检测系统,是一种监听入侵行为的产品,I P S(Intrusion Prevention System)即入侵防御系统,是既具有检测入侵行为的功能,又能够实时中止网络入侵行为的新型安全技术设备。两者面向的对象相同,都是入侵行为,不同的是IDS侧重于监测,而 IPS则是在监测的基础上强调了防护功能。
二、网络部署
从网络部署及使用情况看,网络型IDS和网络型IPS存在比较大的区别(如图1)。IDS一般采用直接架设到监测网络中的方式,不影响网络流量。IPS一般采用了类似防火墙式的在线安装方式,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认安全后,再通过另外一个端口将它传送到内部系统中。IDS并不直接影响网络的流量,只是利用交换机的监听功能(或者HUB的广播功能)旁听网络上的数据,即使IDS发生故障,网络的正常通信仍会继续,而且IDS不仅能够监听网络间的通信,也能监听被监测网内部的通信。而IPS由于直接架设在网络节点上,所以一旦IPS发生故障,网络的正常通信将会受到很大影响,而且IPS只能处理通过它的信息流。当然正因为IPS部署在网络的节点位置,使IPS能够对入侵行为具有更强的控制能力。
IDS典型部署图IPS典型部署图InternetInternetIPS设备设备
图1 IDS与IPS网络部署区别
三、数据分析技术
从采用的数据分析技术上看,个人认为网络型IDS和网络型IPS并没有本质上的不同。数据分析疗法也不外乎异常检测(基于行为的检测)和误用检测(基于知识的检测)两大类。IDS常用的统计学方法、状态转换分析、模式匹配等技术也都在 IPS中得到充分的利用。虽然各个厂家采用的 分析技术不尽相同,但是在数据分析方法上IPS和IDS并没有本质区别。目前,无论是IDS还是IPS厂家都在努力尝试提高数据分析技术水平,尝试将各种方法融入到数据分析技术中,以实现对数据的准确分析从而降低漏报和误报。IPS产品正是在IDS的数据分析能力达到一定水平后的产物.但从目前的技术水平看,虽然在数据的准确分析上取得了一定的成果.但并没有从根本上解决漏报和误报问题,而且,IPS对误报更为敏感。对于IDS产品而言一旦发生误报可能仅会增加一些无谓的报警,而对IPS产品来说,发生误报不仅是增加报警有可能意味着正常连接甚至正常的
服务被中断,因而对于IPS来说解决误报率与漏报率的平衡更为重要。IDS和IPS产品在未来信息安全产品中的作用如何,数据分析技术水平将起到决定性作用。
四、事件响应技术
IDS通常具有的响应技术主要包括实时报警、日志记录、远程报警、实时阻断和防火墙联动等技术。其中实时阻断和防火墙联动技术属于主动响应技术,具有部分防护功能,但是由于实时阻断只能通过主动向当前异常网络会话的一方或双方发送TCP RST 数据包等方式(部分IDS还能够发送ICMP的错误信息数据包)实现阻断,这种方法对阻断TCP连接效果比较明显,但是对无连接的UDP包则显得力不从心。而防火墙联动虽然能够通过设置防火墙策略实现隔离入发者IP的功能,但是防火墙联动技术由于在实际使用过程中往往需要涉及到防火墙厂商.因此在实践中受到防火墙与入侵检测系统兼容、部分防火墙不支持联动,阻断对象(源、目的IP)控制不好等诸多因素的影响、使得这项技术一直没有得到很好的发展和应用。
IPS在响应技术方面,除了具有实时报警、日志记录、远程报警等全部IDS的被动响应技术外,IPS在主动响应方面有着明显的优势。IPS除了能向当前异常网络会话的一方或双方发送TCP RST数据包外,还可以直接采用对异常网络会话的数据包不进行转发的方法,有效地将无连接的UDP包异常流量隔离在外、而且IPS可以直接实现类似防火墙的功能,通过类似黑名单的功能,实时将入侵者IP记入拒绝转发的地址刊表中,实现隔离入侵者IP功能。
从采用的事件响应技术上看,网络型IPS的功能相对强大,而且部分优秀的IPS在阻断技术方面做得相当精致。IDS的实时阻断一般由系统决定是向一方还是双方发送阻断包,用户不能对其进行控制。而部分IPS更允许用户自行设置向源地址、目的地址或者双方发送阻断包。由于IPS的直接阻断入侵者IP功能有可能阻断网络的正常流量,所以部分IPS除了支持人工清除被阻断IP功能外,还支持阻断超时判断功能,可以在一段时间后自动清除入侵者IP。
五、其他功能
部分IPS除了具有入侵检测和响应功能外,还增加了其他防护功能。例如包过滤,流量控制等功能。目前看到的IPS都为透明模式,不需要配置IP地址,部分IPS 借鉴了防火墙的网桥模式.支持简单的包过滤规则设置和流量控制功
能,因此有人也认为IPS等于IDS加防火墙,甚至有人认为IPS可以取代防火墙在网络边界防护中的位置。通过对大量IPS产品的调研,很容易就发现IPS的规则设置功能远比一般的防火墙粗糙.其访问控制能力也远不如防火墙,而且通常IPS也不具备防火墙的负载均衡、路由等功能。因此,不能简单的认为IPS就是IDS加防火墙,而且至少目前还看不到IPS将取代防火墙的趋势。
六、小结
表1 IDS,IPS异同表 网络型IDS 网络部署 直接架设到监测网络中 数据分析技术 事件响应技术 实时报警 日志记录 远程报警 主动响应技术 支持实时阻断 支持防火墙联动 其他功能 包过滤功能 流量控制 不支持 不支持 网络型IPS 直接嵌入到 网络流量中 相同 支持 支持 支持 支持实时阻断,更灵活 自行阻断入侵者IP 支持 支持 表1网络型IDS和IPS的异同如表1
通过以上分析我们可以看出,网络型IPS确实衍生自网络型IDS,但是在对入侵的防护方面有了很大的改进,虽然在IPS诞生之初就有一种声音认为IPS将代替IDS,IDS将死亡。然而随着近几年IPS的发展.IDS并没有出现衰退的迹象。这主要是因为虽然IPS在技术上有了一定的改进、但是并没有从根本上解决IDS原有的漏报和误报等问题、而且IPS厂商希望IPS在网络上承担更重要的作用、这又使得IPS受到更多的硬件限制,另外网络型IPS的部署位置使得IPS对网络内部之间的攻击无法触及,IPS想要代替IDS还需要在软件和硬件技术方面进行更多的改进,一些原来对IPS嗤之以鼻的IDS商家也逐渐加入到IPS的产
品研发中,相信IDS与IPS共存的现象会持续很长一断时间,谁胜谁负时间应该是最好的裁判。
正在阅读:
IDS与IPS技术大比拼10-27
产房应急演练06-26
民办幼儿园财务管理制度04-06
有关保安工作总结简短范文3篇精选范文08-02
多彩的秋作文300字07-14
复杂模型机实验报告12-04
指导青年教师总结青蓝工程师徒结对师傅小结01-29
局部解剖 上肢试题05-15
海底捞的营销策略和经营模式05-21
- 多层物业服务方案
- (审判实务)习惯法与少数民族地区民间纠纷解决问题(孙 潋)
- 人教版新课标六年级下册语文全册教案
- 词语打卡
- photoshop实习报告
- 钢结构设计原理综合测试2
- 2014年期末练习题
- 高中数学中的逆向思维解题方法探讨
- 名师原创 全国通用2014-2015学年高二寒假作业 政治(一)Word版
- 北航《建筑结构检测鉴定与加固》在线作业三
- XX县卫生监督所工程建设项目可行性研究报告
- 小学四年级观察作文经典评语
- 浅谈110KV变电站电气一次设计-程泉焱(1)
- 安全员考试题库
- 国家电网公司变电运维管理规定(试行)
- 义务教育课程标准稿征求意见提纲
- 教学秘书面试技巧
- 钢结构工程施工组织设计
- 水利工程概论论文
- 09届九年级数学第四次模拟试卷
- 比拼
- 技术
- IDS
- IPS
- 劳动人事争议调解工作汇报
- 大学物理实验 分光计的调整和三棱镜折射率的测定
- 专题12 化学能与热能-2017年高考二轮核心考点化学(附解析)$775995
- 小学数学促进学生个性发展的教学策略研究报告
- 人教版高中物理选修3-1作业:1-8电容器的电容(含答案)
- 公路工程预算实习报告
- 山东省专升本计算机文化基础综合练习题集及答案
- 从组织行为学角度观《十二怒汉》后有感
- 自激式鱼机电路图,大功率自激鱼机的制作研究(上)2
- 部编版2019年秋八年级语文上册 14 白杨礼赞 教案
- 微信对大学生人际交往的利弊影响及应对策略-教育文档资料
- 江苏省海安中学2018届高三下学期开学考试英语试题
- 安全员岗位资格考试试卷(中建) - secret
- 诚信考试广播稿
- 重庆市优秀团员青年入党积极分子推荐表
- 《统计学》练习题(3)答案
- 杨氏弹性模量的测定
- 陕西省兴平市秦岭中学2011-2012学年高二下学期第一次月考英语试题(无答案)
- 红牛中国发展史:从定位到定位的成功
- 三下乡活动总结报告 - 图文