入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们 。而入侵防护系统(IPS)则倾向于提供主动性的防护 。在一段时间内,IDS和IPS将共同存在 。
存在的发展观
IDS与IPS的发展其实非常有意思,因为他们的出现与发展的时间间隔并不长,而且到目前为止,各自都有坚定的用户与支持者,当然,各自的缺点也非常明显 。在此,虽然有不少人认为IPS终将取代IDS而成为主流(有些人甚至认为UTM也是IPS的终结者),但采访人员并不敢全部认同 。
在IT产业中,这么多年了,从来没有过技术主导一切的定论,国内也是一样 。君不见微软战胜苹果,TCP/IP搞掉OSI,道理很简单:适合的就是最好的 。虽然技术很重要,但是也要考虑到用户的接受程度、应用水平与经济能力,尤其是在国内 。
采访人员一直认为,IDS在国内发展的一个重要领域是教育,虽然很多IPS厂商也认为教育是其主要市场,但作为先来者,IDS和很多全网安全方案的结合,帮助了其进一步存活的可能性,当然荷包不足的用户也是其发展的另一个条件 。
当然,采访人员的意思并非IDS将会一路高歌,恰恰相反,很多用户对于发现问题后及时采取行动的呼声与愿望越发高涨,眼下所担忧的仅仅是这种行动不要由于误打误撞而导致灾难 。不管怎么说,这种愿望还是造成了眼前IDS与IPS的边界越来越模糊(甚至是和少数初级的UTM)----发现问题,采取一点点用户心理上能够承受的行动 。
从防火墙到IDS
其实回忆早前防火墙在国内的应用可以发现,用户对于安全设备的理解与掌握,往往花费的时间都比较长 。
现在国内用户对防火墙已经有了很高的认知和应用水平(至少对ACL的配置选择已经不在陌生),并认可了其网络大门的地位 。但不可否认,防火墙采用规则匹配的原理,对于内容的控制并不严密 。虽然少数高端产品可以对应用协议进行动态分析----边界模糊的另一种证明----,但这样仍不能对进出网络的数据进行分析,特别是对网络内部发生的事件完全无能为力 。
Juniper公司的工程师向采访人员表示,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能 。因此如果把放火防火墙比作大门警卫的话,IDS就是网络中不间断的摄像机 。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警 。不但可以发现从外部的攻击,也可以发现内部的恶意行为 。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案
在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出,当前市场上存在的IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS) 。HIDS的分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少 。而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛 。
从技术上说,无论采用HIDS还是NIDS,都能发现对方无法检测到的一些入侵行为,可互为补充,完美的IDS产品应该将两者结合起来 。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构 。
对一个成功的IDS系统来讲,它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南 。更为重要的是,IDS大多管理、配置简单,从而使企业人员可以非常容易地获得网络安全 。另外,好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变 。
推荐阅读
- 乔麦的功效与作用乔麦的好处
- 三白瓜的功效与作用 三白瓜的禁忌人群
- 衤字旁的字大多数和什么有关 衤字旁的字大多数与什么有关
- 猫毛草的功效与作用 猫毛草主要有什么用
- 芭乐红心与白心的区别
- 燕麦怎么煮
- C168与诺基亚6030的区别
- 苹果新款mac pro与xdr显示器中国国行发布时间官宣
- 葛郁金的功效与作用 葛郁金有什么功效
- 与6100的第二次牵手