IDS 和IPS
從題庫裏找到的答案,加油!
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略,對網絡、系統的執行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
我們做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓裏的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行爲,只有實時監視系統才能發現情況併發出警告。
不同於防火牆,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這裏,"所關注流量"指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。在如今的網絡拓撲中,已經很難找到以前的HUB式的共享介質衝突域的網絡,絕大部分的網絡區域都已經全面升級到交換式的網絡結構。因此,IDS在交換式網絡中的位置一般選擇在:
(1)儘可能靠近攻擊源
(2)儘可能靠近受保護資源
這些位置通常是:
•服務器區域的交換機上
•Internet接入路由器之後的第一臺交換機上
•重點保護網段的局域網交換機上
防火牆和IDS可以分開操作,IDS是個臨控系統,可以自行選擇合適的,或是符合需求的,比如發現規則或監控不完善,可以更改設定及規則,或是重新設定!
IPS:侵入保護(阻止)系統
【導讀】:侵入保護(阻止)系統(IPS)是新一代的侵入檢測系統(IDS),可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、衝擊、方向和適當的分析,然後將合適的資訊和命令傳送給防火牆、交換機和其它的網絡設備以減輕該事件的風險。
侵入保護(阻止)系統(IPS)是新一代的侵入檢測系統(IDS),可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、衝擊、方向和適當的分析,然後將合適的資訊和命令傳送給防火牆、交換機和其它的網絡設備以減輕該事件的風險。
IPS 的關鍵技術成份包括所合併的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟件和支援全球訪問並用於管理 IPS 的控制檯。如同 IDS 中一樣,IPS 中也需要降低假陽性或假陰性,它通常使用更爲先進的侵入檢測技術,如試探式掃描、內容檢查、狀態和行爲分析,同時還結合常規的侵入檢測技術如基於簽名的檢測和異常檢測。
同侵入檢測系統(IDS)一樣,IPS 系統分爲基於主機和網絡兩種類型。
基於主機 IPS
基於主機的 IPS 依靠在被保護的系統中所直接安裝的代理。它與操作系統內核和服務緊密地捆綁在一起,監視並截取對內核或 API 的系統調用,以便達到阻止並記錄攻擊的作用。它也可以監視數據流和特定應用的環境(如網頁服務器的檔案位置和註冊條目),以便能夠保護該應用程序使之能夠避免那些還不存在簽名的、普通的攻擊。
基於網絡的 IPS
基於網絡的 IPS 綜合了標準 IDS 的功能,IDS 是 IPS 與防火牆的混合體,並可被稱爲嵌入式 IDS 或網關 IDS(GIDS)。基於網絡的 IPS 設備只能阻止透過該設備的惡意資訊流。爲了提高 IPS 設備的使用效率,必須採用強迫資訊流透過該設備的方式。更爲具體的來說,受保護的資訊流必須代表着向聯網計算機系統或從中發出的數據,且在其中:
指定的網絡領域中,需要高度的安全和保護和/或
該網絡領域中存在極可能發生的內部爆發
配置地址能夠有效地將網絡劃分成最小的保護區域,並能夠提供最大範圍的有效覆蓋率。
IDS和IPS爭議有誤區
【導讀】:對於“IDS和IPS(IDP)誰更能滿足用戶需求”這個問題,給人一種二選一的感覺。經過了長時間的反覆爭論,以及來自產品開發和市場的反饋,冷靜的業內人士和客戶已經看到這根本不是一個二選一的問題。
對於“IDS和IPS(IDP)誰更能滿足用戶需求”這個問題,給人一種二選一的感覺。經過了長時間的反覆爭論,以及來自產品開發和市場的反饋,冷靜的業內人士和客戶已經看到這根本不是一個二選一的問題。
很顯然,用戶需要的不是單一的產品,也不是衆多產品的簡單堆砌。現在一個比較流行的說法就是“資訊安全保障體系(系統)”,也就是用戶的安全是要靠衆多技術、產品、服務和管理等要素組合成一個完整的體系,來解決所面臨的安全威脅,以保護資訊資產和正常業務。
在安全保障框架中,不同的產品、服務、措施會在不同的地方發揮作用。比如,PKI和生物鑑別機制的優勢在鑑別認證領域能夠很好地發揮作用;入侵檢測則在監測、監控和預警領域發揮優勢;防火牆和IPS能在訪問控制領域發揮長處;數據加密和內容過濾在內容安全領域獨領風騷。討論不同的安全技術領域哪個更加符合用戶的需求,其實不如探討讓各種安全技術如何有效地協同工作。
IPS真的能夠替代防火牆和IDS嗎?提供IPS(IDP)的廠商常常聲稱,其IPS能夠兼具防火牆的網關防禦能力和入侵檢測的深度檢測,企圖達到把IPS的作用上升到1+1>2的效果。但是很遺憾,實際上並不是這樣。我們必須從技術本質上尋找解決辦法。目前IPS能夠解決的主要是準確的單包檢測和高速傳輸的融合問題。
當然,檢測和訪問控制如何協同和融合,將會一直是業內研究的課題,也將會有更多更好的技術形態出現。不管叫什麼名字,適合用戶需求的就是最好的。
三個維度區分IDS與IPS
【導讀】:3年前,當入侵防禦技術(IPS)出現時,諮詢機構Gartner曾經預言,IDS(入侵檢測)即將死亡,將由IPS取代,當時曾引起媒體一片討論。2006年,諮詢機構IDC斷言,IDS與IPS是兩種不同的技術,無法互相取代。而今天,依然有很多用戶不清楚兩者之間的差別。
中國人民銀行的張漲是IDS的骨灰級用戶,對IDS玩得非常熟,但即使這樣,他也僅僅是聽說IPS而已,並沒有真正使用和見過。他的擔心是:IPS既然是網絡威脅的阻斷設備,誤報、誤阻影響網絡的連通性怎麼辦?北京銀行的魏武中也認爲,如果在網絡的入口處,串接了一串安全設備:IPS、防火牆/VPM以及殺病毒網關等,怎麼保證網絡的效率?是否會因增添一種新的設備而引起新的單點故障的風險?
事實上,這些疑問一直如影隨形地伴隨着IPS的誕生和發展。以至於,在很多用戶的安全設備的採購清單中,一直在出現“IDS或IPS”的選擇,這證明用戶依然不瞭解這兩種技術的差別。
啓明星辰公司的產品管理中心總監萬卿認爲,現在是重新審視這兩種技術的時候了。他認爲,要從三個維度上認清這兩種技術的不同。
從趨勢看差別
2004年,Gartner的報告曾經預言IDS即將死亡,但無論從用戶的需求還是從廠商的產品銷售來看,IDS依然處於旺盛的需求階段,比如,國內最大的IDS生產廠商啓明星辰公司,今年上半年IDS的增長超過了50%,並且,公司最大的贏利來源依然是IDS,事實證明,IDS即將死亡的論斷是錯誤的。
萬卿認爲,IDC的報告是準確的,IDS和IPS分屬兩種不同產品領域,前者是一種檢測技術,而後者是一種阻斷技術,只不過後者阻斷攻擊的依據是檢測,因此要用到很多的檢測技術,很多用戶就此搞混了。
從理論上看,IDS和IPS是分屬兩個不同的層次,這與用戶的風險防範模型有關,用戶首先要查找到風險,才能預防和阻斷風險。而IDS是查找和評估風險的設備,IPS是阻斷風險的設備。防火牆只能做網絡層的風險阻斷,不能做到應用層的風險阻斷。過去,人們曾經利用防火牆與IDS聯動的方式實現應用層的風險阻斷,但由於是聯動,阻斷時間上會出現滯後,往往攻擊已經發生了纔出現阻斷,這種阻斷已經失去了意義,IPS就此產生。
用一句話概括,IDS是幫助用戶自我評估、自我認知的設備,而IPS或防火牆是改善控制環境的設備。IPS注重的是入侵風險的控制,而IDS注重的是入侵風險的管理。也許有一天,透過IDS,我們能確定到底在什麼地方放IPS?到底在什麼地方放防火牆?這些設備應該配備哪些策略?並可以透過IDS檢測部署IPS/防火牆的效果如何。
IDS與IPS各自的應用價值與部署目標
【導讀】:從2003年 Gartner公司副總裁Richard Stiennon發表的《入侵檢測已壽終正寢,入侵防禦將萬古長青》報告引發的安全業界震動至今,關於入侵檢測系統與入侵防禦系統之間關係的討論已經趨於平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,給這個討論畫上了一個句號。可以說,目前無論是從業於資訊安全行業的專業人士還是普通用戶,都認爲入侵檢測系統和入侵防禦系統是兩類產品,並不存在入侵防禦系統要替代入侵檢測系統的可能。但由於入侵防禦產品的出現,給用戶帶來新的困惑:到底什麼情況下該選擇入侵檢測產品,什麼時候該選擇入侵防禦產品呢?筆者曾見過用戶進行產品選擇的時候在產品類型上寫着“入侵檢測系統或者入侵防禦系統”。這說明用戶還不能確定到底使用哪種產品,顯然是因爲對兩類產品的區分不夠清晰所致,其實從產品價值以及應用角度來分析就可以比較清晰的區分和選擇兩類產品。
從2003年 Gartner公司副總裁Richard Stiennon發表的《入侵檢測已壽終正寢,入侵防禦將萬古長青》報告引發的安全業界震動至今,關於入侵檢測系統與入侵防禦系統之間關係的討論已經趨於平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,給這個討論畫上了一個句號。可以說,目前無論是從業於資訊安全行業的專業人士還是普通用戶,都認爲入侵檢測系統和入侵防禦系統是兩類產品,並不存在入侵防禦系統要替代入侵檢測系統的可能。但由於入侵防禦產品的出現,給用戶帶來新的困惑:到底什麼情況下該選擇入侵檢測產品,什麼時候該選擇入侵防禦產品呢?筆者曾見過用戶進行產品選擇的時候在產品類型上寫着“入侵檢測系統或者入侵防禦系統”。這說明用戶還不能確定到底使用哪種產品,顯然是因爲對兩類產品的區分不夠清晰所致,其實從產品價值以及應用角度來分析就可以比較清晰的區分和選擇兩類產品。
從產品價值角度講:入侵檢測系統注重的是網絡安全狀況的監管。用戶進行網絡安全建設之前,通常要考慮資訊系統面臨哪些威脅;這些威脅的來源以及進入資訊系統的途徑;資訊系統對這些威脅的抵禦能力如何等方面的資訊。在資訊系統安全建設中以及實施後也要不斷的觀察資訊系統中的安全狀況,瞭解網絡威脅發展趨勢。只有這樣纔能有的放矢的進行資訊系統的安全建設,才能根據安全狀況及時調整安全策略,減少資訊系統被破壞的可能。
入侵防禦系統關注的是對入侵行爲的控制。當用戶明確資訊系統安全建設方案和策略之後,可以在入侵防禦系統中實施邊界防護安全策略。與防火牆類產品可以實施的安全策略不同,入侵防禦系統可以實施深層防禦安全策略,即可以在應用層檢測出攻擊並予以阻斷,這是防火牆所做不到的,當然也是入侵檢測產品所做不到的。
從產品應用角度來講:爲了達到可以全面檢測網絡安全狀況的目的,入侵檢測系統需要部署在網絡內部的中心點,需要能夠觀察到所有網絡數據。如果資訊系統中包含了多個邏輯隔離的子網,則需要在整個資訊系統中實施分佈部署,即每子網部署一個入侵檢測分析引擎,並統一進行引擎的策略管理以及事件分析,以達到掌控整個資訊系統安全狀況的目的。
而爲了實現對外部攻擊的防禦,入侵防禦系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行透過入侵防禦系統,入侵防禦系統即可實時分析網絡數據,發現攻擊行爲立即予以阻斷,保證來自外部的攻擊數據不能透過網絡邊界進入網絡。
IDS是依照一定的安全策略,對網絡、系統的執行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。IPS 能夠識別事件的侵入、關聯、衝擊、方向和適當的分析,然後將合適的資訊和命令傳送給防火牆、交換機和其它的網絡設備以減輕該事件的風險。