扫一扫
关注微信公众号

从被动应战到主动防御(1)
2007-09-27   

大约在两年前,IPS(入侵防护)的概念被推到了台前。由于IPS增加了对入侵的主动阻断功能,一时间IPS取代IDS(入侵检测)的呼声日渐高涨,而Gartner发表的“IDS将死、IPS获胜”言论更是让这两种技术的争斗达到了白热化。如今,距离“IDS灭亡论”发表已经有一年多时间了,那么IDS和IPS的现状又是如何?接下来,就让我们来逐一看个究竟。 近期,我们在《网络世界》网站(www.cnw.com.cn)上,围绕目前用户对IDS和IPS的应用及需求状况进行了调查,收到的大量读者反馈反映了人们对IDS和IPS的关注程度。我们从中选出100份有效问卷,根据问卷分析发现,59%的用户部署了IDS,27%的用户将IDS列入购买计划,62%用户在关注IPS,并且7%的用户有意向购买IPS,IDS和IPS在国内都呈现出繁荣发展的热闹景象。
IDS功过自有公论 
在国内,IDS没有受到“灭亡论”的太大影响,尤其是近年来,IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中,我们都能发现IDS的身影。一位证券公司的IT主管告诉记者,随着企业网络结构的不断扩大和日益复杂,由内部员工违规引起的安全问题变得突出起来,防火墙、防病毒等常规的安全手段只能对付外部入侵,而对于内部违规行为却无能为力,而IDS可以审计跟踪内部违反安全策略的行为。另一位汽车销售网的IT工程师认为,IDS可以记录、报警各种安全事件,有利于进行安全审计和事后追踪,对于追溯和阻止拒绝服务攻击能够提供有价值的线索。像证券公司IT主管和汽车销售网的IT工程师这样认为IDS的贡献大于麻烦的用户占53%。
联想信息安全的CTO刘科全告诉记者,促使IDS得到广泛应用的另一个因素是,Slammer、冲击波等针对系统漏洞的攻击不断增多,新的软件漏洞不断被发现,一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中,从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短,用户需要一种可以检测攻击的有效工具,IDS就是其中的一种。
我们同时也看到,也有很多用户反应IDS带来的麻烦大于贡献。某经济研究院的信息中心刘主任告诉记者,IDS的误报率太高,只要一开机,便响个不停,在每天发出的上万条的报警信息中,真正有价值的信息却寥寥无几,而从上万条信息中挖掘出有用信息费时又费力,通常需要设立专人负责管理IDS,这在缺乏IT人才的企业中是很不现实的。刘主任的观点很具代表性,47%的用户持这种观点。
IDS的困惑
调查显示,误报和漏报严重、海量信息难以分析、难以与其他设备进行联动、难以部署、存在安全隐患是始终不离IDS左右的老问题(见图一)。其中,前两者是用户反应最为强烈的问题,各式各样的IDS设备都存在不同程度的误报和漏报现象。即使认为IDS贡献大的用户也同样遭遇误报和漏报的困扰,只不过在权衡误报、漏报以及检测入侵方面,这些用户更看重后者。海量信息难以分析也影响了用户对IDS的使用,36%的用户认为IDS存在少量信息难以分析。
对于误报和漏报,刘科全认为,这主要是与IDS检测机制的缺乏有关。综合运用多种检测机制,包括特征对比、协议异常分析等技术,可以显著降低IDS的误报和漏报,IDS同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。
除了上述不足之外,许多用户还对主机型IDS的安全性提出了置疑。目前的IDS可以分为主机型、网络型、混合型三种。混合型IDS已经不多见,已逐渐淡出市场。网络型IDS的原理是识别反映已知进攻,对异常行为模式进行统计分析,进行事后审计追踪,对安全事件发出报警。主机型IDS的原理是监视分析用户及系统活动,评估重要系统和数据文件的完整性,识别用户违反安全策略的行为,进行系统配置和弱点审计。在选择主机型产品还是网络型产品方面,92%的用户选择网络型的产品。由于主机型产品是以软件形式部署在服务器上,用户担心主机型IDS存在后门,会影响关键服务器的安全水平,同时会降低服务器的运行效率。
IDS需要提高
85%的用户不满足于IDS的现有功能,认为IDS仍有必要进一步改进功能。用户希望IDS能够按紧急程度不同发出报警、生成详细报告、分析攻击事件、真正实现与安全设备的联动(见图二)。中科院软件所的研究员冯登国认为,未来的IDS还需要面向宽带高速实时的网络环境,引入数据挖掘、分布式部署、免疫和神经网络技术,并且适应IPv6的技术要求。
IDS厂商并没有忽视用户需求,对IDS一直进行着改进。例如,启明星辰在天阗入侵检测与管理系统v6.0中,利用流量监控发现异常技术,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间的对应关系,给出入侵威胁和资产脆弱性之间的风险分析结果,能够有效管理安全事件并进行及时处理和响应。从功能上来看,天阗入侵检测与管理系统v6.0已不再是单纯的入侵检测系统,而体现了管理入侵的思想。赛门铁克将蜜罐诱捕技术引入IDS当中,增加IDS应对未知攻击的防护能力。

共3页: 1 [2] [3] 下一页

热词搜索:

上一篇:ISS和思科争夺IDS/IPS市场领导权
下一篇:ISS和思科并列IDS/IPS市场第一,IPS推动市场增长

分享到: 收藏