IPS主动防护
尽管IDS是一种受到企业欢迎的解决方案,它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击或老式攻击的变形,它们也不能对加密流量中的攻击进行检测。
而入侵防护系统(Intrution Protection System,IPS)则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。
简单地理解,IPS等于防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能。
和防火墙比较起来,IPS的功能比较单一,它只能串联在网络上,对防火墙所不能过滤的攻击进行过滤。一般来说,企业用户关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处,在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计跟踪产品结合,可以提供针对企业信息资源的全面审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
IPS目前主要包含以下几种类型:1、基于主机的入侵防护(HIPS),它能够保护服务器的安全弱点不被不法分子所利用;2、基于网络的入侵防护(NIPS),它可通过检测流经的网络流量,提供对网络系统的安全保护,一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话; 3、应用入侵防护,它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。
IPS面临的挑战
IPS 技术需要面对很多挑战,其中主要有三点。
1、单点故障
设计要求IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果IDS出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
2、性能瓶颈
即使 IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。
3、误报和漏报
误报率和漏报率也需要IPS认真面对。在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS每小时至少需要处理36000条警报,一天就是864000条。一旦生成了警报,最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么“误报”就有了可乘之机,导致合法流量也有可能被意外拦截。对于实时在线的IPS来说,一旦拦截了“攻击性”数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被“尽职尽责”的IPS拦截。
IDS和IPS将共存
虽然IPS具有很大的优势,然而美国网络世界实验室联盟成员Rodney Thayer认为,在报告、分析等相关技术完善得足以防止虚假报警之前,IPS不可能取代IDS设备。IPS可能将取代外围防线的检测系统,而网络中的一些位置仍然需要检测功能,以加强不能提供很多事件信息的IPS。
用户向厂商询问的问题
·选择主机IDS还是网络IDS?
·怎样选择误报率和漏报率较低的IDS?
·是否需要同时选购IDS和IPS?
·如何避免IPS的单点故障?
·IPS是否会阻止合法流量?
