入侵檢測系統和入侵防護系統的區別

2008-08-29 cbsi中國·

pchome.net

1. 入侵檢測系統(ids)

ids是英文「intrusion detection systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，對網路、系統的執行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

我們做乙個比喻——假如防火牆是一幢大廈的門鎖，那麼ids就是這幢大廈裡的監視系統。一旦小偷進入了大廈，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。

與防火牆不同的是，ids入侵檢測系統是乙個旁路監聽裝置，沒有也不需要跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對ids的部署的唯一要求是：ids應當掛接在所有所關注的流量都必須流經的鏈路上。在這裡，「所關注流量」指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。

ids在交換式網路中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護資源。

這些位置通常是：

 伺服器區域的交換機上；

 internet接入路由器之後的第一台交換機上；

 重點保護網段的區域網交換機上。

2. 入侵防禦系統(ips)

ips是英文「intrusion prevention system」的縮寫，中文意思是入侵防禦系統。

隨著網路攻擊技術的不斷提高和網路安全漏洞的不斷發現，傳統防火牆技術加傳統ids的技術，已經無法應對一些安全威脅。在這種情況下，ips技術應運而生，ips技術可以深度感知並檢測流經的資料流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網路頻寬資源。

對於部署在資料**路徑上的ips，可以根據預先設定的安全策略，對流經的每個報文進行深度檢測（協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等），如果一旦發現隱藏於其中網路攻擊，可以根據該攻擊的威脅級別立即採取抵禦措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次tcp連線。

進行了以上分析以後，我們可以得出結論，

辦公網中，至少需要在以下區域部署ips，即辦公網與外部網路的連線部位（入口/出口）；重要伺服器集群前端；辦公網內部接入層。至於其它區域，可以根據實際情況與重要程度，酌情部署。

3.ips(英文「intrusion prevention system」的縮寫)與ids(ids是英文「intrusion detection systems」)的區別、選擇

ips對於初始者來說，是位於防火牆和網路的裝置之間的裝置。這樣，如果檢測到攻擊，ips會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通訊。而ids只是存在於你的網路之外起到報警的作用，而不是在你的網路前面起到防禦的作用。

ips檢測攻擊的方法也與ids不同。一般來說，ips系統都依靠對資料報的檢測。ips將檢查入網的資料報，確定這種資料報的真正用途，然後決定是否允許這種資料報進入你的網路。

目前無論是從業於資訊保安行業的專業人士還是普通使用者，都認為入侵檢測系統和入侵防護系統是兩類產品，並不存在入侵防護系統要替代入侵檢測系統的可能。但由於入侵防護產品的出現，給使用者帶來新的困惑：到底什麼情況下該選擇入侵檢測產品，什麼時候該選擇入侵防護產品呢?

從產品價值角度講：入侵檢測系統注重的是網路安全狀況的監管。入侵防護系統關注的是對入侵行為的控制。與防火牆類產品、入侵檢測產品可以實施的安全策略不同，入侵防護系統可以實施深層防禦安全策略，即可以在應用層檢測出攻擊並予以阻斷，這是防火牆所做不到的，當然也是入侵檢測產品所做不到的。

從產品應用角度來講：為了達到可以全面檢測網路安全狀況的目的，入侵檢測系統需要部署在網路內部的中心點，需要能夠觀察到所有網路資料。如果資訊系統中包含了多個邏輯隔離的子網，則需要在整個資訊系統中實施分布部署，即每子網部署乙個入侵檢測分析引擎，並統一進行引擎的策略管理以及事件分析，以達到掌控整個資訊系統安全狀況的目的。

而為了實現對外部攻擊的防禦，入侵防護系統需要部署在網路的邊界。這樣所有來自外部的資料必須序列通過入侵防護系統，入侵防護系統即可實時分析網路資料，發現攻擊行為立即予以阻斷，保證來自外部的攻擊資料不能通過網路邊界進入網路。

入侵檢測系統的核心價值在於通過對全網資訊的分析，了解資訊系統的安全狀況，進而指導資訊系統安全建設目標以及安全策略的確立和調整，而入侵防護系統的核心價值在於安全策略的實施—對黑客行為的阻擊；入侵檢測系統需要部署在網路內部，監控範圍可以覆蓋整個子網，包括來自外部的資料以及內部終端之間傳輸的資料，入侵防護系統則必須部署在網路邊界，抵禦來自外部的入侵，對內部攻擊行為無能為力。

明確了這些區別，使用者就可以比較理性的進行產品型別選擇：

若使用者計畫在一次專案中實施較為完整的安全解決方案，則應同時選擇和部署入侵檢測系統和入侵防護系統兩類產品。在全網部署入侵檢測系統，在網路的邊界點部署入侵防護系統。

若使用者計畫分布實施安全解決方案，可以考慮先部署入侵檢測系統進行網路安全狀況監控，後期再部署入侵防護系統。

若使用者僅僅關注網路安全狀況的監控(如金融監管部門，電信監管部門等)，則可在目標資訊系統中部署入侵檢測系統即可。

明確了ips的主線功能是深層防禦、精確阻斷後，ips未來發展趨勢也就明朗化了：不斷豐富和完善ips可以精確阻斷的攻擊種類和型別，並在此基礎之上提公升ips產品的裝置處理效能。

而在提公升效能方面存在的乙個悖論就是：需提公升效能，除了在軟體處理方式上優化外，硬體架構的設計也是乙個非常重要的方面，目前的asic/np等高效能硬體，都是採用嵌入式指令+專用語言開發，將已知攻擊行為的特徵固化在電子韌體上，雖然能提公升匹配的效率，但在攻擊識別的靈活度上過於死板(對變種較難發現)，在新攻擊特徵的更新上有所滯後(需做特徵的編碼化)。而基於開放硬體平台的ips由於採用的是高階程式語言，不存在變種攻擊識別和特徵更新方面的問題，廠商的最新產品已經可以達到電信級骨幹網路的流量要求，比如mcafee公司推出的電信級ips產品m8000

（10gbps流量）、m6050（5gbps）。

所以，入侵防護系統的未來發展方向應該有以下兩個方面：

第一，更加廣泛的精確阻斷範圍：擴大可以精確阻斷的事件型別，尤其是針對變種以及無法通過特徵來定義的攻擊行為的防禦。

第二，適應各種組網模式：在確保精確阻斷的情況下，適應電信級骨幹網路的防禦需求。

入侵檢測系統和入侵防護系統的區別

IPS入侵防護系統

入侵檢測系統

入侵檢測之基於主機入侵檢測系統

入侵檢測系統和入侵防護系統的區別

IPS入侵防護系統

入侵檢測系統

入侵檢測之基於主機入侵檢測系統

相關推薦