面对快速发展的internet蠕虫和病毒,企业网络需能够及时识别并消除潜在的安全威胁,网络安全体系结构也要不断调整,包括性价比高的检测和防护系统。如入侵检测系统(intrusion detection systems,ids),或可扩展的入侵防御系统(intrusion prevention systems,ips)。
目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?
ids
ids(intrusion detective system)称为入侵检测系统,它是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门。入侵检测通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应。一般来讲,入侵检测系统采用异常发现技术和模式发现技术两项技术;入侵检测系统按其输入数据的来源来看,可以分为3类:
(1) 基于主机的入侵检测系统(hids):其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。
(2) 基于网络的入侵检测系统(nids):其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵。
(3) 采用上述两种数据来源的分布式入侵检测系统;能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,由多个部件组成。
ips
入侵防护系统(intrution protection system,ips)则倾向于提供主动性的防护,其设计旨在 预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。ips 是通过直接嵌入到网络流量中而 实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这 样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在ips设备中被清除掉。
简单地理解,ips等于防火墙加上入侵检测系统,但并不是说ips可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于tcp/ip协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能。
和防火墙比较起来,ips的功能比较单一,它只能串联在网络上,对防火墙所不能过滤的攻击进行过滤。一般来说,企业用户关注的是自己的网络能否避免被攻 击,对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处,在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计 跟踪产品结合,可以提供针对企业信息资源的全面审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
ips目前主要包含以下几种类型:1、基于主机的入侵防护(hips),它能够保护服务器的安全弱点不被不法分子所利用;2、基于网络的入侵防护(nips),它可通过检测流经的网络流量,提供对网络系统的安全保护,一旦辨识出入侵行为,nips就可以去除整个网络会话,而不仅仅是复位会话;3、 应用入侵防护,它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。
ips与ids的区别、选择
ips对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,ips会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而ids只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。关于两者的优缺点如下表所示:
|
ids |
ips |
优点 |
ids平台一个主要优点是可在混杂模式中工作。由于ids传感器不是在线工作的,因此它不会影响网络性能。不会产生延迟、抖动或其他流量问题。 |
ips传感器较ids的一个优点是可以通过配置让数据包丢弃,这样可以停止触发数据包、连接中的数据包,或者来自源ip地址的数据包。 |
缺点 |
ids平台在混杂模式中工作也有很多缺点。ids传感器响应行为既不能停止触发数据包,也不能保证停止连接。 |
使用ips传感器会产生许多的错误、失效和溢出的流量,对于时间敏感的应用(如voip),必须设计适当的规模和正确地执行,才不会产生负面的影响 |
明确了这些区别,用户就可以比较理性的进行产品类型选择:
若用户计划在一次项目中实施较为完整的安全人生就是博尊龙凯时的解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。
若用户计划分布实施安全人生就是博尊龙凯时的解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。
若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。