IDS与IPS技术大比拼

更新时间:2023-10-27 10:43:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

IDS与IPS技术大比拼

自IPS诞生之初,有关于IDS和IPS的各种争论就没有停止过。笔者因长期从事信息安全领域的工作,所以对目前国内众多的IDS和IPS产品进行过深入的调查研究,本文将结合市场上的网络型IDS和IPS的异同谈一谈笔者对IDS、IPS技术发展的看法。

一、概念

首先,从概念上来看,IDS(Intrusion Detection System)即入侵检测系统,是一种监听入侵行为的产品,I P S(Intrusion Prevention System)即入侵防御系统,是既具有检测入侵行为的功能,又能够实时中止网络入侵行为的新型安全技术设备。两者面向的对象相同,都是入侵行为,不同的是IDS侧重于监测,而 IPS则是在监测的基础上强调了防护功能。

二、网络部署

从网络部署及使用情况看,网络型IDS和网络型IPS存在比较大的区别(如图1)。IDS一般采用直接架设到监测网络中的方式,不影响网络流量。IPS一般采用了类似防火墙式的在线安装方式,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认安全后,再通过另外一个端口将它传送到内部系统中。IDS并不直接影响网络的流量,只是利用交换机的监听功能(或者HUB的广播功能)旁听网络上的数据,即使IDS发生故障,网络的正常通信仍会继续,而且IDS不仅能够监听网络间的通信,也能监听被监测网内部的通信。而IPS由于直接架设在网络节点上,所以一旦IPS发生故障,网络的正常通信将会受到很大影响,而且IPS只能处理通过它的信息流。当然正因为IPS部署在网络的节点位置,使IPS能够对入侵行为具有更强的控制能力。

IDS典型部署图IPS典型部署图InternetInternetIPS设备设备

图1 IDS与IPS网络部署区别

三、数据分析技术

从采用的数据分析技术上看,个人认为网络型IDS和网络型IPS并没有本质上的不同。数据分析疗法也不外乎异常检测(基于行为的检测)和误用检测(基于知识的检测)两大类。IDS常用的统计学方法、状态转换分析、模式匹配等技术也都在 IPS中得到充分的利用。虽然各个厂家采用的 分析技术不尽相同,但是在数据分析方法上IPS和IDS并没有本质区别。目前,无论是IDS还是IPS厂家都在努力尝试提高数据分析技术水平,尝试将各种方法融入到数据分析技术中,以实现对数据的准确分析从而降低漏报和误报。IPS产品正是在IDS的数据分析能力达到一定水平后的产物.但从目前的技术水平看,虽然在数据的准确分析上取得了一定的成果.但并没有从根本上解决漏报和误报问题,而且,IPS对误报更为敏感。对于IDS产品而言一旦发生误报可能仅会增加一些无谓的报警,而对IPS产品来说,发生误报不仅是增加报警有可能意味着正常连接甚至正常的

服务被中断,因而对于IPS来说解决误报率与漏报率的平衡更为重要。IDS和IPS产品在未来信息安全产品中的作用如何,数据分析技术水平将起到决定性作用。

四、事件响应技术

IDS通常具有的响应技术主要包括实时报警、日志记录、远程报警、实时阻断和防火墙联动等技术。其中实时阻断和防火墙联动技术属于主动响应技术,具有部分防护功能,但是由于实时阻断只能通过主动向当前异常网络会话的一方或双方发送TCP RST 数据包等方式(部分IDS还能够发送ICMP的错误信息数据包)实现阻断,这种方法对阻断TCP连接效果比较明显,但是对无连接的UDP包则显得力不从心。而防火墙联动虽然能够通过设置防火墙策略实现隔离入发者IP的功能,但是防火墙联动技术由于在实际使用过程中往往需要涉及到防火墙厂商.因此在实践中受到防火墙与入侵检测系统兼容、部分防火墙不支持联动,阻断对象(源、目的IP)控制不好等诸多因素的影响、使得这项技术一直没有得到很好的发展和应用。

IPS在响应技术方面,除了具有实时报警、日志记录、远程报警等全部IDS的被动响应技术外,IPS在主动响应方面有着明显的优势。IPS除了能向当前异常网络会话的一方或双方发送TCP RST数据包外,还可以直接采用对异常网络会话的数据包不进行转发的方法,有效地将无连接的UDP包异常流量隔离在外、而且IPS可以直接实现类似防火墙的功能,通过类似黑名单的功能,实时将入侵者IP记入拒绝转发的地址刊表中,实现隔离入侵者IP功能。

从采用的事件响应技术上看,网络型IPS的功能相对强大,而且部分优秀的IPS在阻断技术方面做得相当精致。IDS的实时阻断一般由系统决定是向一方还是双方发送阻断包,用户不能对其进行控制。而部分IPS更允许用户自行设置向源地址、目的地址或者双方发送阻断包。由于IPS的直接阻断入侵者IP功能有可能阻断网络的正常流量,所以部分IPS除了支持人工清除被阻断IP功能外,还支持阻断超时判断功能,可以在一段时间后自动清除入侵者IP。

五、其他功能

部分IPS除了具有入侵检测和响应功能外,还增加了其他防护功能。例如包过滤,流量控制等功能。目前看到的IPS都为透明模式,不需要配置IP地址,部分IPS 借鉴了防火墙的网桥模式.支持简单的包过滤规则设置和流量控制功

能,因此有人也认为IPS等于IDS加防火墙,甚至有人认为IPS可以取代防火墙在网络边界防护中的位置。通过对大量IPS产品的调研,很容易就发现IPS的规则设置功能远比一般的防火墙粗糙.其访问控制能力也远不如防火墙,而且通常IPS也不具备防火墙的负载均衡、路由等功能。因此,不能简单的认为IPS就是IDS加防火墙,而且至少目前还看不到IPS将取代防火墙的趋势。

六、小结

表1 IDS,IPS异同表 网络型IDS 网络部署 直接架设到监测网络中 数据分析技术 事件响应技术 实时报警 日志记录 远程报警 主动响应技术 支持实时阻断 支持防火墙联动 其他功能 包过滤功能 流量控制 不支持 不支持 网络型IPS 直接嵌入到 网络流量中 相同 支持 支持 支持 支持实时阻断,更灵活 自行阻断入侵者IP 支持 支持 表1网络型IDS和IPS的异同如表1

通过以上分析我们可以看出,网络型IPS确实衍生自网络型IDS,但是在对入侵的防护方面有了很大的改进,虽然在IPS诞生之初就有一种声音认为IPS将代替IDS,IDS将死亡。然而随着近几年IPS的发展.IDS并没有出现衰退的迹象。这主要是因为虽然IPS在技术上有了一定的改进、但是并没有从根本上解决IDS原有的漏报和误报等问题、而且IPS厂商希望IPS在网络上承担更重要的作用、这又使得IPS受到更多的硬件限制,另外网络型IPS的部署位置使得IPS对网络内部之间的攻击无法触及,IPS想要代替IDS还需要在软件和硬件技术方面进行更多的改进,一些原来对IPS嗤之以鼻的IDS商家也逐渐加入到IPS的产

品研发中,相信IDS与IPS共存的现象会持续很长一断时间,谁胜谁负时间应该是最好的裁判。

本文来源:https://www.bwwdw.com/article/5kl2.html

Top