IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 解讀IDS和IPS差異 兩者或?qū)⒐泊?/p>

解讀IDS和IPS差異 兩者或?qū)⒐泊?/h1>

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

IDS技術(shù)  

根據(jù)采集數(shù)據(jù)源的不同,IDS可分為主機型IDS(Host-based IDS,HIDS)和網(wǎng)絡(luò)型IDS(Network-based IDS,NIDS)。

HIDS和NIDS都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為,可互為補充。完美的IDS產(chǎn)品應(yīng)該將兩者結(jié)合起來。目前主流IDS產(chǎn)品都采用HIDS和NIDS有機結(jié)合的混合型IDS架構(gòu)。

傳統(tǒng)的入侵檢測技術(shù)有:

1、模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,來發(fā)現(xiàn)違背安全策略的入侵行為。一種進攻模式可以利用一個過程或一個輸出來表示。

這種檢測方法只需收集相關(guān)的數(shù)據(jù)集合就能進行判斷,能減少系統(tǒng)占用,并且技術(shù)已相當(dāng)成熟,檢測準(zhǔn)確率和效率也相當(dāng)高。但是,該技術(shù)需要不斷進行升級以對付不斷出現(xiàn)的攻擊手法,并且不能檢測未知攻擊手段。

2、異常檢測

異常檢測首先給系統(tǒng)對象(用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,包括統(tǒng)計正常使用時的測量屬性,如訪問次數(shù)、操作失敗次數(shù)和延時等。測量屬性的平均值被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較,當(dāng)觀察值在正常值范圍之外時,IDS就會判斷有入侵發(fā)生。異常檢測的優(yōu)點是可以檢測到未知入侵和復(fù)雜的入侵,缺點是誤報、漏報率高。

3、完整性分析

完整性分析關(guān)注文件或?qū)ο笫欠癖淮鄹,主要根?jù)文件和目錄的內(nèi)容及屬性進行判斷,這種檢測方法在發(fā)現(xiàn)被更改和被植入特洛伊木馬的應(yīng)用程序方面特別有效。完整性分析利用消息摘要函數(shù)的加密機制,能夠識別微小變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵,只要攻擊導(dǎo)致文件或?qū)ο蟀l(fā)生了改變,完整性分析都能夠發(fā)現(xiàn)。完整性分析一般是以批處理方式實現(xiàn),不用于實時響應(yīng)。

入侵檢測面臨的問題

1、誤報和漏報

IDS系統(tǒng)經(jīng)常發(fā)出許多假警報。誤警和漏警產(chǎn)生的原因主要有以下幾點:

● 當(dāng)前IDS使用的主要檢測技術(shù)仍然是模式匹配,模式庫的組織簡單、不及時、不完整,而且缺乏對未知攻擊的檢測能力;

● 隨著網(wǎng)絡(luò)規(guī)模的擴大以及異構(gòu)平臺和不同技術(shù)的采用,尤其是網(wǎng)絡(luò)帶寬的迅速增長,IDS的分析處理速度越來越難跟上網(wǎng)絡(luò)流量,從而造成數(shù)據(jù)包丟失;

● 網(wǎng)絡(luò)攻擊方法越來越多,攻擊技術(shù)及其技巧性日趨復(fù)雜,也加重了IDS的誤報、漏報現(xiàn)象。

2、拒絕服務(wù)攻擊

IDS是失效開放(Fail Open)的機制,當(dāng)IDS遭受拒絕服務(wù)攻擊時,這種失效開放的特性使得黑客可以實施攻擊而不被發(fā)現(xiàn)。

3、插入和規(guī)避

插入攻擊和規(guī)避攻擊是兩種逃避IDS檢測的攻擊形式。其中插入攻擊可通過定制一些錯誤的數(shù)據(jù)包到數(shù)據(jù)流中,使IDS誤以為是攻擊。規(guī)避攻擊則相反,可使攻擊躲過IDS的檢測到達目的主機。

插入攻擊的意圖是使IDS頻繁告警(誤警),但實際上并沒有攻擊,起到迷惑管理員的作用。規(guī)避攻擊的意圖則是真正要逃脫IDS的檢測,對目標(biāo)主機發(fā)起攻擊。黑客經(jīng)常改變攻擊特征來欺騙基于模式匹配的IDS。

IDS發(fā)展趨勢  

在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時間差不斷縮小的情況下,基于特征檢測匹配技術(shù)的IDS已經(jīng)力不從心。IDS出現(xiàn)了銷售停滯,但IDS不會立刻消失,而是將IDS將成為安全信息管理(SIM)框架的組成部分。

在SIM框架中,IDS的作用可以通過檢測和報告技術(shù)得到加強。分析人士指出,IDS的作用正轉(zhuǎn)變?yōu)檎{(diào)查取證和安全分析。大約5年后,一致性安全管理以及內(nèi)核級的安全技術(shù)將共同結(jié)束基于特征檢測的IDS技術(shù)的使命。

美國網(wǎng)絡(luò)世界實驗室聯(lián)盟成員Joel Snyder認(rèn)為,未來將是混合技術(shù)的天下,在網(wǎng)絡(luò)邊緣和核心層進行檢測,遍布在網(wǎng)絡(luò)上的傳感設(shè)備和糾正控制臺通力協(xié)作將是安全應(yīng)用的主流。

一些廠商通過將IDS報警與安全漏洞信息進行關(guān)聯(lián)分析,著手解決IDS的缺陷。SIM廠商在實現(xiàn)安全信息分析的方式上開始采取更加模塊化的方法,將安全漏洞管理、異常檢測、網(wǎng)絡(luò)評估、蜜罐模塊與IDS模塊搭配在一起,以更好地確定和響應(yīng)安全事件。

IPS主動防護

盡管IDS是一種受到企業(yè)歡迎的解決方案,它還是不足以阻斷當(dāng)今互聯(lián)網(wǎng)中不斷發(fā)展的攻擊。入侵檢測系統(tǒng)的一個主要問題是它不會主動在攻擊發(fā)生前阻斷它們。同時,許多入侵檢測系統(tǒng)基于簽名,所以它們不能檢測到新的攻擊或老式攻擊的變形,它們也不能對加密流量中的攻擊進行檢測。

而入侵防護系統(tǒng)(Intrution Protection System,IPS)則傾向于提供主動性的防護,其設(shè)計旨在預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。

IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中而實現(xiàn)這一功能的,即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認(rèn)其中不包含異;顒踊蚩梢蓛(nèi)容后,再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能夠在IPS設(shè)備中被清除掉。

簡單地理解,IPS等于防火墻加上入侵檢測系統(tǒng),但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品,它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色,而且在大多數(shù)情況下,可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計等功能。

和防火墻比較起來,IPS的功能比較單一,它只能串聯(lián)在網(wǎng)絡(luò)上,對防火墻所不能過濾的攻擊進行過濾。一般來說,企業(yè)用戶關(guān)注的是自己的網(wǎng)絡(luò)能否避免被攻擊,對于能檢測到多少攻擊并不是很熱衷。

但這并不是說入侵檢測系統(tǒng)就沒有用處,在一些專業(yè)的機構(gòu),或?qū)W(wǎng)絡(luò)安全要求比較高的地方,入侵檢測系統(tǒng)和其他審計跟蹤產(chǎn)品結(jié)合,可以提供針對企業(yè)信息資源的全面審計資料,這些資料對于攻擊還原、入侵取證、異常事件識別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。

IPS目前主要包含以下幾種類型:1、基于主機的入侵防護(HIPS),它能夠保護服務(wù)器的安全弱點不被不法分子所利用;2、基于網(wǎng)絡(luò)的入侵防護(NIPS),它可通過檢測流經(jīng)的網(wǎng)絡(luò)流量,提供對網(wǎng)絡(luò)系統(tǒng)的安全保護,一旦辨識出入侵行為,NIPS就可以去除整個網(wǎng)絡(luò)會話,而不僅僅是復(fù)位會話;3、應(yīng)用入侵防護,它把基于主機的入侵防護擴展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。

IPS面臨的挑戰(zhàn)

IPS 技術(shù)需要面對很多挑戰(zhàn),其中主要有三點:

1、單點故障。設(shè)計要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中,而這就可能造成瓶頸問題或單點故障。如果IDS出現(xiàn)故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設(shè)備出現(xiàn)問題,就會嚴(yán)重影響網(wǎng)絡(luò)的正常運轉(zhuǎn)。如果IPS出現(xiàn)故障而關(guān)閉,用戶就會面對一個由IPS造成的拒絕服務(wù)問題,所有客戶都將無法訪問企業(yè)網(wǎng)絡(luò)提供的應(yīng)用。

2、性能瓶頸。即使 IPS設(shè)備不出現(xiàn)故障,它仍然是一個潛在的網(wǎng)絡(luò)瓶頸,不僅會增加滯后時間,而且會降低網(wǎng)絡(luò)的效率,IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步,尤其是當(dāng)加載了數(shù)量龐大的檢測特征庫時,設(shè)計不夠完善的 IPS 嵌入設(shè)備無法支持這種響應(yīng)速度。絕大多數(shù)高端 IPS產(chǎn)品供應(yīng)商都通過使用自定義硬件(FPGA、網(wǎng)絡(luò)處理器和ASIC芯片)來提高IPS的運行效率。

3、誤報和漏報。誤報率和漏報率也需要IPS認(rèn)真面對。在繁忙的網(wǎng)絡(luò)當(dāng)中,如果以每秒需要處理十條警報信息來計算,IPS每小時至少需要處理36000條警報,一天就是864000條。一旦生成了警報,最基本的要求就是IPS能夠?qū)瘓筮M行有效處理。如果入侵特征編寫得不是十分完善,那么"誤報"就有了可乘之機,導(dǎo)致合法流量也有可能被意外攔截。

對于實時在線的IPS來說,一旦攔截了"攻擊性"數(shù)據(jù)包,就會對來自可疑攻擊者的所有數(shù)據(jù)流進行攔截。如果觸發(fā)了誤報警報的流量恰好是某個客戶訂單的一部分,其結(jié)果可想而知,這個客戶整個會話就會被關(guān)閉,而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡(luò)的合法訪問都會被"盡職盡責(zé)"的IPS攔截。

IDS和IPS將共存

雖然IPS具有很大的優(yōu)勢,然而美國網(wǎng)絡(luò)世界實驗室聯(lián)盟成員Rodney Thayer認(rèn)為,在報告、分析等相關(guān)技術(shù)完善得足以防止虛假報警之前,IPS不可能取代IDS設(shè)備。IPS可能將取代外圍防線的檢測系統(tǒng),而網(wǎng)絡(luò)中的一些位置仍然需要檢測功能,以加強不能提供很多事件信息的IPS。

關(guān)鍵詞標(biāo)簽:IDS,IPS

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說明(詳解route print)網(wǎng)管員實際工作的一天用此方法讓2M帶寬下載速度達到250K/S左右網(wǎng)管必會!了解交換機控制端口流量