在本地安全策略略的重要组成部分中,与IDS相比,IPS的主要优势在哪里

来源:蜘蛛抓取(WebSpider) 时间:2018-09-21 00:31 标签: 本地安全策略
抱歉!您关注的作品出自《电脑知识与技术:认证考试》2004年第11M期。

该刊暂未被《中文科技期刊数据库》收录,故无法提供全文下载。

  • 读者请联系《电脑知识与技术:认证考试》期刊社索取原文,
  • 期刊申请加入,请致电023-咨询

侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(

),可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和

传送给防火墙、交换机和其它的

设备以减轻该事件的风险。


IPS的关键技术成份包括所合并的全球和本地

访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理IPS的控制台。如同IDS中一样,IPS中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如

、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。

同侵入检测系统(IDS)一样,IPS系统分为基于主机和网络两种类型。基于主机的IPS依靠在被保护的系统中所直接安装的代理。它与内核和服务紧密地捆绑在一起,监视并截取对内核或API的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。

基于网络的IPS综合了标准IDS的功能,IDS是IPS与的混合体,并可被称为嵌入式IDS或IDS(GIDS)。基于网络的IPS设备只能阻止通过该设备的恶意信息流。为了提高IPS设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:指定的网络领域中,需要高度的安全和保护和/或该网络领域中存在极可能发生的内部爆发配置地址能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。

A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。

B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。

C:IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如注入、等),使得IDS与防火墙联动在实际应用中的效果不显著。

于是就有下面的一种想法,如图所示。


这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁()的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用。

入侵检测系统(IDS)对那些异常的、可能是入侵行为的进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。

入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。

这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。

业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。入侵防御系统(IPS)就是入侵检测系统(Intrusion Detection System,IDS)的升级产品,有了IPS,就可以替代以前的IDS系统,这也正是gartner在2003年发表那篇著名的“IDSisdead”的理由。

从入侵防御系统的起源来看,这个“升级说”似乎有些道理:NetworkICE公司在2000年首次提出了IPS这个概念,并于2000年的9月18日推出了BlackICEGuard,这是一个的IDS,直接分析网络数据并实时对恶意数据进行丢弃处理。但这种概念一直受到质疑,自2002年IPS概念传入国内起,IPS这个新型的产品形态就不断地受到挑战,而且各大安全厂商、客户都没有表现出对IPS的兴趣,普遍的一个观点是:在IDS基础上发展起来的IPS产品,在没能解决IDS固有问题的前提下,是无法得到推广应用的。

这个固有问题就是“误报”和“滥报”,IDS的用户常常会有这种苦恼:IDS界面上充斥着大量的报警信息,经过安全专家分析后,被告知这是误警。但在IDS旁路检测的部署形式下,这些误警对正常业务不会造成影响,仅需要花费资源去做人工分析。而串行部署的IPS就完全不一样了,一旦出现了误报或滥报,触发了主动的阻断响应,用户的正常业务就有可能受到影响,这是所有用户都不愿意看到和接受的。正是这个原因,导致了IPS概念在05年之前的国内市场表现平淡。随着时间的推进,自2006年起,大量的国外厂商的IPS产品进入国内市场,各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。

入侵防御系统作为串接部署的设备,确保用户业务不受影响是一个重点,错误的阻断必定意味着影响正常业务,在错误阻断的情况下,各种所谓扩展功能、高性能都是一句空话。这就引出了IPS设备所应该关心的重点——

断,即精确判断各种深层的攻击行为,并实现实时的阻断。

精确阻断解决了自IPS概念出现以来用户和厂商的最大困惑:如何确保IPS无误报和滥报,使得串接设备不会形成新的网络故障点。而作为一款防御入侵攻击的设备,毫无疑问,防御各种深层入侵行为是第二个重点,这也是IPS系统区别于其他安全产品的本质特点;这也给精确阻断加上了一个修饰语:保障深层防御情况下的精确阻断,即在确保精确阻断的基础上,尽量多地发现攻击行为(如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、、),这才是IPS发展的主线功能。

天清入侵防御系统的专业安全厂商启明星辰有着自己独特的技术和专利。启明星辰的技术专家介绍说,依托多年以来在入侵检测技术方面的深厚积累,启明星辰独创性地建立了柔性化检测机制,在确保精确判定攻击行为的基础上,涵盖了各种攻击手法类型。

常用的攻击检测方法有两种,一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测,其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截;但仅能识别已知攻击、抗能力弱。另一种方法是通过分析攻击产生原理,定义攻击类型的统一特征,能准确识别基于相同原理的各种攻击、不受攻击变种的影响,但技术高、扩充复杂、应对新攻击速度有限。

融合“基于特征的检测机制”和“基于原理的检测机制”形成的“柔性检测”机制,它最大的特点就是基于原理的检测方法与基于特征的检测方法并存,有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合,而且细分到对攻击检测防御的每一个过程中,在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与

通过运用柔性检测机制,天清入侵防御系统进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力,提高了精确检测的覆盖面。

扩展功能和高性能,也是入侵防御系统所必需关注的内容,但也要符合产品的主线功能发展趋势。如针对P2P的限制:作为一种新兴的下载手段,得到了极为广泛的运用,但由无限制的P2P应用会影响网络的带宽消耗,并且还随此带来知识产权、病毒等多种相关问题。而实现对P2P的控制和限制,需要较为深入的应用层分析,交给IPS来限制、防范,是一个比较恰当的选择。而、路由、等,这些都是防火墙可以完成的工作,在IPS上来实现这些功能,就有画蛇添足之嫌了。

性能表现是IPS的又一重要指标,但这里的性能应该是更广泛含义上的性能:包括了最大的参数表现和异常状况下的稳定保障。也就是说,性能除了需要关注诸如“吞吐率多大?”,“多长?”,“一定背景流下检测率如何?”等性能参数表现外,还需要关注:“如果出现了意外情况,怎样/多快能恢复网络的正常通讯?”,这个问题也是IPS出现之初被质疑的一个重点。

明确了IPS的主线功能是深层防御、精确阻断后,IPS未来发展趋势也就明朗化了:不断丰富和完善IPS可以精确阻断的攻击种类和类型,并在此基础之上提升IPS产品的设备处理性能。

在提升性能方面存在的一个悖论就是:需提升性能,除了在软件处理方式上优化外,硬件架构的设计也是一个非常重要的方面,目前的/NP等高性能硬件,都是采用嵌入式指令+专用语言开发,将已知攻击行为的特征固化在电子固件上,虽然能提升匹配的效率,但在攻击识别的灵活度上过于死板(对变种较难发现),在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS由于采用的是高级编程语言,不存在变种攻击识别和特征更新方面的问题,但在性能上存在处理效率瓶颈:暂时达不到级骨干网络的流量要所以,入侵防御系统的未来发展方向应该有以下两个方面:

第一,更加广泛的精确阻断范围:扩大可以精确阻断的事件类型,尤其是针对变种以及无法通过特征来定义的攻击行为的防御。

第二,适应各种组网模式:在确保精确阻断的情况下,适应电信级骨干网络的防御需求。

启明星辰IPS产品融合了网络安全专家的科学算法以及对黑客攻防技术的实时跟踪,提供了对网络层以上的入侵和攻击的深层检测。针对Web业务的攻击方式,其中很大比例是SQL注入攻击,攻击者无需具备高深的专业知识,利用互联网上的攻击工具就可以进行网页替换等攻击,而对于这些行为的检测,由于以其多变的数据库查询和猜解语句却给检测带来难度。启明星辰IPS采用了基于原理的检测方式,能够在正常的业务访问数据中精确地识别其中的攻击进行并阻断。 

 通过部署和使用启明星辰IPS,能够有效保护网站Web业务的运行,特别在重大信息发布时,成功地对SQL注入、跨站脚本等复杂攻击进行了阻断,保证了网上政务的运行。借助启明星辰定期及时的入侵防御规则库的更新,天清IPS能够及时更新对于新蠕虫变种,等的防御能力。

专业文档是百度文库认证用户/机构上传的专业性文档,文库VIP用户或购买专业文档下载特权礼包的其他会员用户可用专业文档下载特权免费下载专业文档。只要带有以下“专业文档”标识的文档便是该类文档。

VIP免费文档是特定的一类共享文档,会员用户可以免费随意获取,非会员用户需要消耗下载券/积分获取。只要带有以下“VIP免费文档”标识的文档便是该类文档。

VIP专享8折文档是特定的一类付费文档,会员用户可以通过设定价的8折获取,非会员用户需要原价获取。只要带有以下“VIP专享8折优惠”标识的文档便是该类文档。

付费文档是百度文库认证用户/机构上传的专业性文档,需要文库用户支付人民币获取,具体价格由上传人自由设定。只要带有以下“付费文档”标识的文档便是该类文档。

共享文档是百度文库用户免费上传的可与其他用户免费共享的文档,具体共享方式由上传人自由设定。只要带有以下“共享文档”标识的文档便是该类文档。

我要回帖

更多关于 本地安全策略 的文章

 

随机推荐