在过去的两年中,入侵检测(IDS)技术一度被炒得热火朝天,而去年6月,Gartner的一份非常著名的报告很果断地宣告了IDS技术的“死刑”,它宣布入侵防御(IPS)将成为IDS的“掘墓人”。到底IPS有何高明之处,使得它在网络安全舞台一登场便赢得如此高的实力指数?
据国外安全厂商NetScreen的技术专家介绍:相对于IDS的被动检测及误报等问题,IPS是一种比较主动、机智的防御系统。从功能上讲,作为并联在网络上的设备,绝大多数IDS一般需要与防火墙联动或发送TCPreset包来阻止攻击。而IPS本身就可以阻止入侵的流量。
从技术上讲,IDS系统在识别大规模的组合式、分布式的入侵攻击方面,还没有较好的方法和成熟的解决方案,误报与漏报现象严重,用户往往淹没在海量的报警信息中,而漏掉真正的报警;此外,IDS只能报警而不能有效采取阻断措施的设计理念,也不能满足用户对网络安全日益增长的需求。相反,IPS系统则没有这种问题,它的拦截行为与其分析行为处在同一层次,能够更敏锐地捕捉入侵的流量,并能将危害切断在发生之前。从IDS到IPS,这是必然的趋势。
但IPS能否真正取代IDS,来自总参的一位技术专家认为,“IDS+防火墙”的联动防护机制与IPS会在今后相当长的时间内并存,IPS的发展势头会更好一些。但IPS并不是防火墙的替代者,至少在当前,IPS与防火墙的互补作用还十分明显,防火墙负责提供3-4层的基本安全环境和高速转发能力,而IPS负责4-7层流量的小粒度控制。事实上,在电信级流量背景下,对于4-7层的流量进行分析和过滤是不现实的,只有高性能的防火墙系统才能为网络提供必要的防护。因此,IPS更加适用于中等规模的网络,以及作为大型网络中的第二层防护,用以保护关键的业务和应用。
另外,专家还指出了IPS技术的四大特征:只有以嵌入模式运行的IPS设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包;IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截;高质量的入侵特征库也是IPS高效运行的必要条件;IPS还必须具有高效处理数据包的能力。