随着互联网安全问题的升级,IPS系统即网络防火墙及IDS之后成为完善网络安全问题的热门产品。IPS系统(Intrusion Prevention System , 入侵防御系统)简单来说,IPS系统是位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS系统会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。那么相对于IDS,IPS系统的出现究竟是替代了IDS技术还是IDS技术的升级版呢?
有人指出,入侵防御系统(IPS)就是入侵检测系统(Intrusion Detection System,IDS)的升级产品,有了IPS系统,就可以替代以前的IDS系统,这也正是gartner在2003年发表那篇著名的“IDS is dead” 的理由。
从入侵防御系统的起源来看,这个“升级说”似乎有些道理:NetworkICE公司在2000年首次提出了IPS系统这个概念,并于同年的9月18日推出了BlackICEGuard,这是一个串行部署的IDS,直接分析网络数据并实时对恶意数据进行丢弃处理。
但IPS系统真的会取代IDS系统吗?IPS系统是在IDS系统的基础上发展出来的,IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入你的网络甚至计算机系统时,这种系统可以检测出来,并进行报警,通知你采取措施进行响应。就像买汽车保险一样,IDS也被认为是“最好买上,以防万一”的东西,否则等到出事儿的时候就晚了。IPS系统(入侵防御系统)的出现,应该说是IDS技术的一种新发展趋势,IPS系统在IDS监测的功能上又增加了主动响应的功能,一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,学过物理的话,应该理解串连与并连的区别吧,这里的串连与并连有异曲同工之妙,就像你说的一样,IPS系统确实好于IDS系统,它更主动,但从笔者的观点来说,它们只能算是父子关系入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。
看了上面这么多内容,你可能会有些觉得混乱,下面我没来看看IPS系统到底是什么,以及他的未来前景如何!
一、IPS系统到底是什么?
“IPS系统可以阻断攻击,这正是IDS所做不了的,所以IPS系统是IDS的升级,是IDS的替代品”,可能很多人都会有这种看法。
我们先来看IPS系统的产生原因:
A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
C:IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。 #p#
二 IPS系统的优势在哪里:
实时检测与主动防御是IPS系统最为核心的设计理念,也是其区别于防火墙和IDS的立足之本。为实现这一理念,IPS系统在如下四个方面实现了技术突破,形成了不可低估的优势:
1、在线安装(In-Line)。IPS系统保留IDS实时检测的技术与功能,但是却采用了防火墙式的在线安装,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中;
2、实时阻断(Real-time Interdiction)。IPS系统具有强有力的实时阻断功能,能够预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失;
3、先进的检测技术(Advanced Detection Technology)。主要是并行处理检测和协议重组分析。所谓并行处理检测是指所有流经IPS系统的数据包,都采用并行处理方式进行过滤器匹配,实现在一个时钟周期内,遍历所有数据包过滤器;而协议重组分析是指所有流经IPS系统的数据包,必须首先经过硬件级预处理,完成数据包的重组,确定其具体应用协议。然后,根据不同应用协议的特征与攻击方式,IPS系统对于重组后的包进行筛选,将可疑者送入专门的特征库进行比对,从而提高检测的质量和效率;
4、特殊规则植入功能(Build-in Special Rule)。IPS系统允许植入特殊规则以阻止恶意代码。IPS系统能够辅助实施可接收应用策略(AUP),如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等;
5、自学习与自适应能力(Self-study & Self-adaptation Ability)。为了应对黑客们处心积虑、花样翻新的攻击手段,IPS系统必须具有人工智能的自学习与自适应能力。能够根据所在网络的通信环境和被入侵状况,分析和抽取新的攻击特征以更新特征库,自动总结经验,定制新的安全防御策略。
三 IPS系统的未来发展方向是什么:
IPS系统的主线功能是深层防御、精确阻断,IPS系统未来发展趋势也就明朗化了:不断丰富和完善IPS系统可以精确阻断的攻击种类和类型,并在此基础之上提升IPS系统产品的设备处理性能。
而在提升性能方面存在的一个悖论就是:需提升性能,除了在软件处理方式上优化外,硬件架构的设计也是一个非常重要的方面,目前的ASIC/NP等高性能硬件,都是采用嵌入式指令+专用语言开发,将已知攻击行为的特征固化在电子固件上,虽然能提升匹配的效率,但在攻击识别的灵活度上过于死板(对变种较难发现),在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS系统由于采用的是高级编程语言,不存在变种攻击识别和特征更新方面的问题,但在性能上存在处理效率瓶颈:暂时达不到电信级骨干网络的流量要求。
所以,入侵防御系统的未来发展方向应该有以下两个方面:
第一, 更加广泛的精确阻断范围:扩大可以精确阻断的事件类型,尤其是针对变种以及无法通过特征来定义的攻击行为的防御。
第二, 适应各种组网模式:在确保精确阻断的情况下,适应电信级骨干网络的防御需求。
四 IPS系统与IDS系统的未来
IPS系统目前不可能取代IDS系统,我们既看到了IPS系统蓬蓬勃勃的增长势头,但又要承认IDS在入侵检测领域的传统优势,肯定IPS系统目前尚不可能完全取代IDS系统的基本事实,在建立自己的网络与信息安全体系的过程中,将两者有机地结合起来才是保证我们网络安全的正确选择。
【编辑推荐】
