ips防御系统评测

Gartner在去年8月的一份研究报告中认为,如今的入侵检测系统(IDS)已经难以适应客户的需要。IDS不能提供附加层面的安全,相反增加了企业安全操作的复杂性。入侵检测系统朝入侵预防系统(IPS)方向发展已成必然。实际上,可将IDS与IPS视为两类功能互斥的分离技术:IPS注重接入控制,而IDS则进行网络监控;IPS基于策略实现,IDS则只能进行审核跟踪;IDS的职责不是保证网络安全,而是告知网络安全程度几何。

IPS不仅仅是IDS的演化,它具备一定程度的智能处理功能,能实时阻截攻击。传统的IDS只能被动监视通信,这是通过跟踪交换机端口的信息包来实现的;而IPS则能实现在线监控,主动阻截和转发信息包。通过在线配置,IPS能基于策略设置舍弃信息包或中止连接;传统的IDS响应机制有限,如重设TCP连接或请求变更防火墙规则都存在诸多不足。

IPS工作原理

真正的入侵预防与传统的入侵检测有两点关键区别:自动阻截和在线运行,两者缺一不可。预防工具(软/硬件方案)必须设置相关策略,以对攻击自动作出响应,而不仅仅是在恶意通信进入时向网络主管发出告警。要实现自动响应,系统就必须在线运行。

当黑客试图与目标服务器建立会话时,所有数据都会经过IPS传感器,传感器位于活动数据路径中。传感器检测数据流中的恶意代码,核对策略,在未转发到服务器之前将信息包或数据流阻截。由于是在线操作,因而能保证处理方法适当而且可预知。

与此类比,通常的IDS响应机制(如TCP重置)则大不相同。传统的IDS能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理。必须在数据流中嵌入TCP包,以重置目标服务器中的会话。然而,整个攻击信息包有可能先于TCP重置信息包到达服务器,这时系统才做出响应已经来不及了。重置防火墙规则也存在相同问题,处于被动工作状态的IDS能检测到恶意代码,并向防火墙发出请求阻截会话,但请求有可能到达太迟而无法防止攻击发生。

IPS检测机制

事实上,IDS和IPS中真正有价值的部分是检测引擎。IPS存在的最大隐患是有可能引发误操作,这种“主动性”误操作会阻塞合法的网络事件,造成数据丢失,最终影响到商务操作和客户信任度。

IDS和IPS对攻击的响应过程

为避免发生这种情况,一些IDS和IPS开发商在产品中采用了多检测方法,最大限度地正确判断已知和未知攻击。例如,Symantec的ManHunt IDS最初仅依赖于异常协议分析,后来升级版本可让网管写入Snort代码(Sourcefire公司开发的一种基于规则的开放源码语言环境,用于书写检测信号)增强异常检测功能。Cisco最近也对其IDS软件进行了升级,在信号检测系统中增加了协议和通信异常分析功能。NetScreen的硬件工具则包含了8类检测手段,包括状态信号、协议和通信异常状况以及后门检测。

值得一提的是,Snort系统采用的是基于规则的开放源代码方案,因而能方便识别恶意攻击信号。Snort信号系统为IDS运行环境提供了很大的灵活性,用户可依据自身网络运行情况书写IDS规则集,而不是采用通用检测方法。一些商业IDS信号系统还具备二进制代码检测功能。

减少主动性误操作

集成多类检测方法能增加IDS和IPS检测攻击的种类和数量,但仍无法避免误操作。主动性误操作是IPS应解决的首要问题,因为对合法通信的阻截会造成很多负面影响。

解决主动性误操作的有效方法是进行通信关联分析,也就是让IPS全方位识别网络环境,减少错误告警。这里的关键在于要将琐碎的防火墙日志记录、IDS数据、应用日志记录以及系统弱点评估状况收集到一起,合理推断出将发生哪些情况,并做出合适响应。

对网络运行环境的综合细致评估对发现致命攻击和查找潜在漏洞具有实质意义。目前,已有IDS开发商采用该项技术,它能帮助网络主管收集通信关联信息,从而提高IDS效率。Cisco声称其开发的Cisco威胁响应(CTR)技术能消除高达95%的错误告警。

CTR由Cisco旗下的Psionic软件公司开发。CTR安装于专用服务器中,该服务器位于IDS传感器与IDS管理控制平台之间,当传感器发出告警时,CTR便扫描目标主机,以确定触发告警的攻击是否会给系统带来不利影响。CTR能进行快速简单分析,如搜索开放端口、精确识别操作系统,或查找活动通信。更进一步的是,它还能扫描注册设置、事件日志记录和系统补丁工作状况,以确定目标主机是否易受攻击。如果CTR检测到主机易受攻击或攻击发生,便提升事件告警级别,向控制台发出最高优先级处理请求。

系统保护更受关注

如今很多IDS开发商更多地关注的是系统保护而不仅仅是检测功能。ISS认为,系统保护应同时包含预防和检测技术。ISS的RealSecure IDS基于网络和主机实现,能在线阻截各类攻击。ISS的RealSecure Guard是一类软件IPS。RealSecure Guard通过异常协议分析检测攻击,并能在攻击到达目标主机前实时将其阻截。

侧重于防火墙开发的NetScreen也在朝这一领域发展。NetScreen旗下OneSecure公司开发的IPS基于专用ASIC实现。NetScreen-IPD 100具备快速以太接口,最高吞吐率为200Mbps;NetScreen-IPD 500则具备千兆接口,峰值吞吐率达500Mbps。

IDS/IPS选择应用

是采用IDS还是IPS,需要实地考虑应用环境。IPS比较适合于阻止大范围的、针对性不是很强的攻击,但对单独目标的攻击阻截有可能失效,自动预防系统也无法阻止专门的恶意攻击者的操作。在金融应用系统中,用户除关心遭恶意入侵外,更担心误操作引发灾难性后果。例如,用户担心数据库中的信用卡账号丢失,最好的办法是加密存储。可见这类网络系统运用IDS比较适合。

潜在客户需要对配置IPS存在的风险和优势进行评估,也就是说是重在阻止攻击还是防范失误操作。目前来说,IPS还不具备足够智能识别所有对数据库应用的攻击,一般能做的也就是检测缓冲区溢出。另外,IPS与防火墙配置息息相关。如果没有安装防火墙,则没有必要配置这类在线工具;如果熟知网段中的协议运用并易于统计分析,则可采用这类技术。

一些机构对网络安全级别要求很高,如信用机构,这就需要混合的IDS/IPS解决方案,如IntruVert公司开发的IntruShield就兼具IDS/IPS功能,能自动监控通信并在线阻截攻击。

发展前景

IDS市场将不断发展,产品功能将不仅限于检测,IDS朝具备防护功能方向发展已是大势所趋。一项客户调查表明,IDS具备阻截攻击功能排在其功能需求的首位。Infonetics预计,IDS市场在未来几年中将呈爆炸性增长,到2006年创造的收益将达16亿美元。

IPS产品已经涌现,其发展前景取决于攻击阻截功能的完善。由于有着广泛的应用根基,传统的IDS并不会就此消失。一种情况是,客户不需要通信阻截功能,而只监视通信状况;有些需要为预防系统增加智能处理功能,而有的客户则习惯于人工处理。

Gartner将IPS视为下一代IDS,而且认为很有可能成为下一代防火墙。

时间: 2024-11-05 15:12:28

ips防御系统评测的相关文章

《Cisco ASA设备使用指南(第3版)》一1.2 入侵检测系统(IDS)与入侵防御系统(IPS)

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 当攻击者想要非法访问网络或主机,以降低其性能或窃取其信息时,入侵检测系统(IDS)就可以(在杂合模式下)将这种行为检测出来.除此之外,它们还能够检测出分布式拒绝服务(DDoS)攻击.蠕虫及病毒的爆发.图1-4所示为运行在杂合模式下的IDS设备检测安全威胁的示例. 在图1-4中,一名黑客向Web服务器发送了一个恶意的数据包.IDS设备对这个数据包进行了分析,并向监测系统(在本例中为Cisco安全管理器[Cisco Security Manag

Sophos UTM如何配置入侵防御系统(IPS)

入侵防御系统(IPS)通过已知的基于签名的IPS规则集来识别攻击行为.这个系统分析完整的流量特征,并且在恶意流量到达内部网络之前自动的拦截攻击.现有的规则集和攻击样本通过特征库http://www.aliyun.com/zixun/aggregation/18862.html">自动更新,并且将新的IPS攻击模式的签名自动导入到IPS规则集. 目前UTM中已有的签名数达到15,800多个,关于IPS规则集列表请参考:https://www.astaro.com/lists/ASGV9-IP

快报:Sophos UTM如何配置入侵防御系统(IPS)

入侵防御系统(IPS)通过已知的基于签名的IPS规则集来识别攻击行为.这个系统分析完整的流量特征,并且在恶意流量到达内部网络之前自动的拦截攻击.现有的规则集和攻击样本通过特征库http://www.aliyun.com/zixun/aggregation/18862.html">自动更新,并且将新的IPS攻击模式的签名自动导入到IPS规则集. 目前UTM中已有的签名数达到15,800多个,关于IPS规则集列表请参考:https://www.astaro.com/lists/ASGV9-IP

《Cisco ASA设备使用指南》一1.2 入侵检测系统(IDS)与入侵防御系统(IPS)

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) Cisco ASA设备使用指南当攻击者想要非法访问网络或主机,以降低其性能或窃取其信息时,入侵检测系统(IDS)就可以(在杂合模式下)将这种行为检测出来.除此之外,它们还能够检测出分布式拒绝服务(DDoS)攻击.蠕虫及病毒的爆发.图1-4所示为运行在杂合模式下的IDS设备检测安全威胁的示例. 在图1-4中,一名黑客向Web服务器发送了一个恶意的数据包.IDS设备对这个数据包进行了分析,并向监测系统(在本例中是CS-MARS)发送了一个告警信

汉柏推出了基于云计算的入侵防御系统,与传统防火墙组合为企业数据中心提供深度防御的最优选择

随着信息化和网络的普及,尤其是云计算.数据中心及互联网的发展,针对企业.机构数据中心的蠕虫病毒.漏洞攻击.注入攻击.跨站攻击.DDoS攻击等也有常态化的趋势,极大困扰着用户.尤其,云计算.各种新型互联网应用的普及,以及智能终端的多样性和网络通道的多元化,导致各种新型的攻击愈加繁杂,使得危害和破坏变得更加隐蔽.用户除了部署常规安全防御系统外,更需要一种在线部署的产品,来对各种单一或混合攻击实现实时地检测和阻断,同时要在保证高性能处理时避免误报和漏报发生. 针对数据中心入侵防御的安全需求,汉柏推出了

使用Snort和PHP构建一个小型网络防御系统

本文在Linux环境下,利用Snort和Iptables 构建了一个小型网络防御系统,由PHP页面提供了一个远程管理工具,并给出关键程序的实现和说明. 引言 Snort 是目前十分流行的轻型入侵检测系统.但是目前人们对Snort检测结果的处理大都停留在记录日志或简单通知网络管理员,由管理员进行审计再决定网络防御策略的阶段.Snort的检测结果并没有及时地用来抵御网络入侵.本文通过为Snort的报警输出模块提供一个服务监听程序的办法,及时获取Snort的报警信息并对其进行解析,根据解析结果向ipt

一款新型低空光电警戒防御系统

2017年9月18日至9月25日由中央军委装备发展部.教育部.工业和信息化部.国防科技工业局.中国科学院.全国工商联主办的"第三届军民融合发展高技术装备成果展"在北京京丰宾馆隆重举行.反无人机低空防御系统成为连续几天展品热度排行榜单的热点.在9月24日产品发布会上,北京中星时代科技有限公司展示了一款该公司研发的针对"低慢小"航空器的低空光电警戒防御系统. "低慢小"航空器是低空.慢速.小型航空器的统称.在过去的十年间,一些非法组织和个人利用&qu

锤子系统评测 - 曾被誉为能秒杀 MIUI 和 Flyme 的神级锤子,到底是驴还是马?

class="post_content" itemprop="articleBody"> 罗老湿的锤子系统,虽然只是个测试版的测试版(pre-alpha版),好不好,大家就见仁见智啦!今天,小编就跟大家分享一段锤子 ROM 的评测视频,锤子系统究竟会秒杀 or 被秒杀呢-- 相关阅读: 锤子 ROM 与 MIUI V5/CM10.1详细多图对比评测锤子系统上手体验 – 是安卓,又不是安卓!注重细节但系统完成度不高 锤子系统评测

国内首部国行 Xbox One 开箱视频 + 游戏机系统评测

class="post_content" itemprop="articleBody"> 微软 Xbox One 的入华之路虽然经历了诸多坎坷波折,但是总算是迎来了春天.今日是 Xbox One 在国内市场正式上市发售的日子,很多用户在之前就已经预定了国行 Xbox One 的首发限量版,并且已经拿到了机器-- 首先我们从开箱说起,我们拿到的是"首日限定"版本,里面都有哪些东西?我们一起来看看吧. 开箱评测视频 游戏机系统评测视频 其中能看