返回
入侵防御系统的过去、现在和未来.doc

入侵防御系统的过去、现在和未来.doc

ID:53385970

大小:228.50 KB

页数:6页

时间:2020-04-03

入侵防御系统的过去、现在和未来.doc_第1页
入侵防御系统的过去、现在和未来.doc_第2页
入侵防御系统的过去、现在和未来.doc_第3页
入侵防御系统的过去、现在和未来.doc_第4页
入侵防御系统的过去、现在和未来.doc_第5页
资源描述:

《入侵防御系统的过去、现在和未来.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、您现在的位置:IT专家网>安全子站>评论分析入侵防御系统的过去、现在和未来作者:CC, 出处:IT专家网, 责任编辑:张帅, 2007-12-1010:33  入侵防御系统IPS如今被越来越多的用户所采用,就在几年前著名的市场调查机构Gartner还发表过IDSisdead,然如今一切仍在继续,本文将介绍入侵防御系统IPS的过去、现在和未来……  入侵防御系统(IntrusionPreventionSystem,IPS)是这段时间网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。  有人认

2、为,入侵防御系统(IPS)就是入侵检测系统(IntrusionDetectionSystem,IDS)的升级产品,有了IPS,就可以替代以前的IDS系统,这也正是Gartner在2003年发表那篇著名的“IDSisdead”的理由。  从入侵防御系统的起源来看,这个“升级说”似乎有些道理:NetworkICE公司在2000年首次提出了IPS这个概念,并于同年的9月18日推出了BlackICEGuard,这是一个串行部署的IDS,直接分析网络数据并实时对恶意数据进行丢弃处理。  但这种概念一直受到质疑,自2002年IPS概念传入国内起,IPS这个新型的产品形态就不断地受到

3、挑战,而且各大安全厂商、客户都没有表现出对IPS的兴趣,普遍的一个观点是:在IDS基础上发展起来的IPS产品,在没能解决IDS固有问题的前提下,是无法得到推广应用的。  这个固有问题就是“误报”和“滥报”,IDS的用户常常会有这种苦恼:IDS界面上充斥着大量的报警信息,经过安全专家分析后,被告知这是误警。但在IDS旁路检测的部署形式下,这些误警对正常业务不会造成影响,仅需要花费资源去做人工分析。而串行部署的IPS就完全不一样了,一旦出现了误报或滥报,触发了主动的阻断响应,用户的正常业务就有可能受到影响,这是所有用户都不愿意看到和接受的。正是这个原因,导致了IPS概念在0

4、5年之前的国内市场表现平淡。  随着时间的推进,自2006年起,大量的国外厂商的IPS产品进入国内市场,各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。  IPS到底是什么?  “IPS可以阻断攻击,这正是IDS所做不了的,所以IPS是IDS的升级,是IDS的替代品”,可能很多人都会有这种看法。  我们先来看IPS的产生原因:  A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。  B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。  C:IDS和防火墙联动:通过ID

5、S来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。于是就有下面的一种想法。                                                       IPS的起源  这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。  而为什么会有这种需求呢?是由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用。  入侵检测系统(ID

6、S)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。  入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。  这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。IPS

7、应该看重那些方面的功能?  有些人认为:“IPS应该具备各种扩展功能,ACL、路由、NAT,一个都不能少”。“IPS最重要的就是性能了,其他的都不重要”。  入侵防御系统作为串接部署的设备,确保用户业务不受影响是一个重点,错误的阻断必定意味着影响正常业务,在错误阻断的情况下,各种所谓扩展功能、高性能都是一句空话。这就引出了IPS设备所应该关心的重点——精确阻断,即精确判断各种深层的攻击行为,并实现实时的阻断。  精确阻断解决了自IPS概念出现以来用户和厂商的最大困惑:如何确保IPS无误报和滥报,使得串接设备不会形成新的网络故障点?  而作

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。