IDS与IPS技术浅析-怎么
最后更新时间:2024-04-09
作者:用户投稿
本站原创
点赞:3167
浏览:9560
本站原创
点赞:3167
浏览:9560
论文导读:的特征和攻击方式,重组后的数据包进行筛选,将有可疑的数据包送入特殊的特征库进行匹配,这样就提高检测的质量和速度;4.具有特殊规则植入功能。IPS系统可以植入特殊的规则,用来阻止恶意的代码。IPS系统能够辅助实施可接收应用策略,例如使用对等的文件共享应用以及占用大量带宽资源的免费的互联网电话服务工具等是能够被禁止使
摘要:随着网络时代的飞速发展,网络安全问题也日益突出,网络安全技术也随着人们日益增长的安全需求而不断发展。本文对IDS和IPS两种安全技术进行了简要分析。讨论了两种安全技术的技术特点并对其之间的关系进行了初步研究。
关键词:IDS;IPS;网络安全
1007-9599 (2012) 11-0000-02
IDS系统可以对计算机系统或网络的内部攻击、外部攻击以及误操作等行为进行实时防护,并事先报警、拦截和响应。它有如下功能:1,它具备通过检测并记录计算机网络中的安全事件,防止网络侵入事件的发生;2,它具备检测在攻击前的探测行为并进行预警;3,它具备报告企业网络系统中存在的漏洞和威胁,并提供有关攻击的信息,可以帮助系统管理员对其进行进一步的完善;
IDS并联在线路上(如图1-1)主要优势是监听网络流量,不会影响网络的性能。
虽然在理论上,IDS对用户不是必需的,但它的存在确实减少了网络的威胁。有了IDS,就像在一个大楼里安装了监视器一样,可对整个大楼进行监视,用户感觉很踏实,用IDS对用户来说是很值得的。随着IDS应用的一步步深入,一些问题也逐渐德显现出来。
(一)误报和漏报率高。IDS把入侵的行为和手段进行统计,分析其特点,找出其中的主要特征规律。检测的方法主要是判断网络中搜集到的数据特征是否与入侵模式库中的数据匹配,面对日新月异的成百上千的新的攻击方法和漏洞,攻击特征库的更新必然会出现延迟是造成IDS漏报的一大原因。而通过寻找异常的IDS通过流量统计和分析建立起来的系统正常运行的轨迹,当数据超过正常范围时则被认为受到攻击,这本身就容易造成误伤。
(二)没有主动防御能力。IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。
(三)没有准确定位和处理机制。IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
(四)性能不足。IDS系统数据处理的速度不够,即便IDS一般是以并联方式与网络连接的,但如果其检测和处理数据的速度与网络传输的速度相差较大的话,IDS系统的检测系统就会漏掉相当部分数据包,这样就造成漏报,影响其系统的准确性。在IDS系统中,分析其截获的每一个数据包是否含有威胁到网络系统安全的特征,并与特征数据库进行匹配,是一件巨大的工作,需要消耗大量的系统资源。目前大部IDS系统的检测速度只有几十兆,随着网络速度的逐步提升,千兆网络现在也很普遍了,IDS系统的速度已经远远落后于网络速度的发展了。
(一)成本偏高。庞大的实时计算需求势必消耗大量系统资源,这决定了IPS必须选用相对高端的计算设备,价钱自然就水涨船高了。
(二)单点故障 IPS串联在链路上(如图1-2)才有阻断能力,而这就可能造成单点故障;
(三)性能瓶颈 即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,网络的流量增加了一个必经之站,必然增加滞后时间,同时也会降低网络的效率,因此,绝大多数高端IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器或者ASIC芯片)来提高IPS的运行效率,尽量降低其对于网络性能的负面影响;
(四)误报与漏报后果同样严重。由于是串联在网络中的,所有数据必须经过IPS才能进入到内网,如果有警报,其中一个最基本的要求就是不能误报,因为这样会导致正常的数据也极有可能被拦截。如果数据恰好是来自上级公司或者公司的合作伙伴和客户的重要信息的话,IPS系统不仅阻断数据,还会切断与他们之间的正常联系通道。
报警,类似于部队的侦查兵。它的任务就是帮助网络管理员了解网络系统运行的情况,却不会采取任何措施。IPS 系统增加了主动阻断入侵的功能,IPS在检测到入侵行为之后,会主动采取措施。这样看来,IPS似乎可以完全取代IDS。其实并不然,他们是独立的两个产品。第一,从他们发展趋势看,IDS系统I论文导读:为的阻击。这样一来,我们就能根据需要对其进行选择了。参考文献瞿胜军.精确阻断与有效呈现.硅谷,2007,8,30潘弘.全面检测与精确阻断-谈商业银行如何选择IDS与IPS.金融时报,2007第012版梅光(1985.12-),男,湖北黄冈人,现任南水发电公司信息中心计算机技术员,本科学历,助理工程师,研究方向:小型企业网络安全
PS系统是分属不同的两个阵营:IDS系统是帮助用户更清楚的了解自己的网络系统,用户用IDS这种检测与监控的功能能够即时了解自身的网络状况,并根据提供的数据资料作为依据来改善风险;IPS系统是在分析整个网络系统的基础上安装在网络中重要的关口。第二,从用户方面看,由于行业的不同,他们对于安全的要求程度有高有低,如果说IT风险影响经营的程度并不大,只需要部署IDS就能满足他们安全需求;第二,从技术发展的角度来看,IDS 与IPS 的方向各有侧重。IPS重在深层防御,追求精确阻断。是防御入侵的最佳方案。它弥补防火墙或IDS对入侵数据实时阻断效果的不足。在提升性能效率的同时,必须不断的追求精确识别攻击的能力、抗躲避能力,没有误阻断的深层防御才算有效,否则防御的代价就是影响正常业务。IDS重在全面检测,追求有效呈现。是了解入侵状况的最佳方案,会长期存在且不断发展。IDS除了完善入侵行为识别全面性以外,还要通过统计数据分析、多维报表呈现等管理特性,更加直观的让用户了解入侵威胁状况和趋势,以便支撑治理入侵的最佳思路。
第三,使用方式不同:IPS是串行链路安装,是网关控制类产品,只关注串行线路上的入侵防御。IDS是旁路安装,是安全检测、监控分析类产品,检测与关联的面更广,帮助用户发现、了解、统计、分析入侵威胁状况(如图1-3);前者重控制,后者重管理 。
第四,设计思路不同:由于IPS在线工作,相比IDS而言,IPS增加数据转发环节,这对系统资源是一个新消耗。要保障IPS数据处理效率,IPS必须与IDS资源分配重心不同,为了降低在线等待时间,IPS事件响应机制要比IDS更精确更迅速,误报高、响应慢的事件在IPS没有存摘自:7彩论文网毕业论文选题www.7ctime.com
在的意义。同时IPS中统计分析、报表呈现等管理特性为提升效率也必须作出一定的让步。所以若厂家的IPS与IDS的检测事件库相则说明IPS效率未达到最优状态。
从产品应用的位置来讲:入侵检测系统需要安装在在网络内部的中心点,这样才能全面检测网络的运行情况。一般大型网络里面均包含逻辑隔离的子网,这样的话就必须在每一个子网分别安装IDS分析引擎,并综合处理各事件分析,才能对整个网络的运行情况进行监控。入侵防御系统需要安装在网络系统的边界。所有想进入本局域网的数据必须首先经过IDS系统,这样就可实时地对所有数据进行分析,一旦发现有攻击行为就立即阻断,确保攻击数据不能通过网络边界进入本局域网。由此可见,IDS系统的核心价值在于通过对整个网络的运行状况分析,帮助系统管理员了解网络系统的安全状况,从而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对入侵行为的阻击。这样一来,我们就能根据需要对其进行选择了。
参 考 文 献
瞿胜军.精确阻断与有效呈现[J].硅谷,2007,8,30
潘弘.全面检测与精确阻断-谈商业银行如何选择IDS与IPS[J].金融时报,2007第012版
[作者简介]梅光(1985.12-),男,湖北黄冈人,现任南水发电公司信息中心计算机技术员,本科学历,助理工程师,研究方向:小型企业网络安全。
摘要:随着网络时代的飞速发展,网络安全问题也日益突出,网络安全技术也随着人们日益增长的安全需求而不断发展。本文对IDS和IPS两种安全技术进行了简要分析。讨论了两种安全技术的技术特点并对其之间的关系进行了初步研究。
关键词:IDS;IPS;网络安全
1007-9599 (2012) 11-0000-02
一、入侵检测系统的优劣性分析
IDS系统是在"防火墙"后比较新的网络安全技术。它具备实时监视和分析所在网络中的安全事件,以寻找可疑的危机网络或计算机系统的入侵行为。IDS系统可以对计算机系统或网络的内部攻击、外部攻击以及误操作等行为进行实时防护,并事先报警、拦截和响应。它有如下功能:1,它具备通过检测并记录计算机网络中的安全事件,防止网络侵入事件的发生;2,它具备检测在攻击前的探测行为并进行预警;3,它具备报告企业网络系统中存在的漏洞和威胁,并提供有关攻击的信息,可以帮助系统管理员对其进行进一步的完善;
IDS并联在线路上(如图1-1)主要优势是监听网络流量,不会影响网络的性能。
虽然在理论上,IDS对用户不是必需的,但它的存在确实减少了网络的威胁。有了IDS,就像在一个大楼里安装了监视器一样,可对整个大楼进行监视,用户感觉很踏实,用IDS对用户来说是很值得的。随着IDS应用的一步步深入,一些问题也逐渐德显现出来。
(一)误报和漏报率高。IDS把入侵的行为和手段进行统计,分析其特点,找出其中的主要特征规律。检测的方法主要是判断网络中搜集到的数据特征是否与入侵模式库中的数据匹配,面对日新月异的成百上千的新的攻击方法和漏洞,攻击特征库的更新必然会出现延迟是造成IDS漏报的一大原因。而通过寻找异常的IDS通过流量统计和分析建立起来的系统正常运行的轨迹,当数据超过正常范围时则被认为受到攻击,这本身就容易造成误伤。
(二)没有主动防御能力。IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。
(三)没有准确定位和处理机制。IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
(四)性能不足。IDS系统数据处理的速度不够,即便IDS一般是以并联方式与网络连接的,但如果其检测和处理数据的速度与网络传输的速度相差较大的话,IDS系统的检测系统就会漏掉相当部分数据包,这样就造成漏报,影响其系统的准确性。在IDS系统中,分析其截获的每一个数据包是否含有威胁到网络系统安全的特征,并与特征数据库进行匹配,是一件巨大的工作,需要消耗大量的系统资源。目前大部IDS系统的检测速度只有几十兆,随着网络速度的逐步提升,千兆网络现在也很普遍了,IDS系统的速度已经远远落后于网络速度的发展了。
二、入侵防御系统的优劣性分析
IPS入侵防御系统主要设计目标是实时检测与主动防御。为达到该目标,IPS在如下几个方面实现了技术突破:1.串联安装,IPS具有IDS实时检测的技术与功能,但是却采用了防火墙式的串联安装,所有进入局域网的数据必须通过其安全检测才能进入;2.实时阻断,IPS能够预先对不安全的网络流量进行拦截,避免其造成损失;3.检测技术先进。并行处理检测与协议重组分析是重点。并行处理检测的工作是所有通过IPS的数据包,都需要用并行处理方法进行全面过滤器和匹配,遍历所有数据包只需要一个时钟周期;而协议重组分析指的是所有通过IPS系统的数据包,首先要经过高速的硬件级预处理,重组数据包,明确其使用的协议。然后,IPS系统会根据不同协议的特征和攻击方式,重组后的数据包进行筛选,将有可疑的数据包送入特殊的特征库进行匹配,这样就提高检测的质量和速度;4.具有特殊规则植入功能。IPS系统可以植入特殊的规则,用来阻止恶意的代码。IPS系统能够辅助实施可接收应用策略,例如使用对等的文件共享应用以及占用大量带宽资源的免费的互联网电话服务工具等是能够被禁止使用的;5.具有自主学习与自动适应的能力。面对们处心积虑、日新月异攻击方法手段,IPS系统必须具备人工智能的自主学习和自动适应的能力。这样才能够根据所在网络的被入侵状况,分析抽取新的攻击方法特征并及时更新特征库,会自动的总结经验和新的具有针对性的安全防御策略。IPS系统的主动防御的优势同时也决定了它的弱点:(一)成本偏高。庞大的实时计算需求势必消耗大量系统资源,这决定了IPS必须选用相对高端的计算设备,价钱自然就水涨船高了。
(二)单点故障 IPS串联在链路上(如图1-2)才有阻断能力,而这就可能造成单点故障;
(三)性能瓶颈 即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,网络的流量增加了一个必经之站,必然增加滞后时间,同时也会降低网络的效率,因此,绝大多数高端IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器或者ASIC芯片)来提高IPS的运行效率,尽量降低其对于网络性能的负面影响;
(四)误报与漏报后果同样严重。由于是串联在网络中的,所有数据必须经过IPS才能进入到内网,如果有警报,其中一个最基本的要求就是不能误报,因为这样会导致正常的数据也极有可能被拦截。如果数据恰好是来自上级公司或者公司的合作伙伴和客户的重要信息的话,IPS系统不仅阻断数据,还会切断与他们之间的正常联系通道。
三、IDS与IPS的比较
IDS系统是一种旁路侦测系统,它不间断地检测网络中的数据,同时判断其中是否具有威胁,以便向管理员源于:7彩论文网论文大纲www.7ctime.com报警,类似于部队的侦查兵。它的任务就是帮助网络管理员了解网络系统运行的情况,却不会采取任何措施。IPS 系统增加了主动阻断入侵的功能,IPS在检测到入侵行为之后,会主动采取措施。这样看来,IPS似乎可以完全取代IDS。其实并不然,他们是独立的两个产品。第一,从他们发展趋势看,IDS系统I论文导读:为的阻击。这样一来,我们就能根据需要对其进行选择了。参考文献瞿胜军.精确阻断与有效呈现.硅谷,2007,8,30潘弘.全面检测与精确阻断-谈商业银行如何选择IDS与IPS.金融时报,2007第012版梅光(1985.12-),男,湖北黄冈人,现任南水发电公司信息中心计算机技术员,本科学历,助理工程师,研究方向:小型企业网络安全
PS系统是分属不同的两个阵营:IDS系统是帮助用户更清楚的了解自己的网络系统,用户用IDS这种检测与监控的功能能够即时了解自身的网络状况,并根据提供的数据资料作为依据来改善风险;IPS系统是在分析整个网络系统的基础上安装在网络中重要的关口。第二,从用户方面看,由于行业的不同,他们对于安全的要求程度有高有低,如果说IT风险影响经营的程度并不大,只需要部署IDS就能满足他们安全需求;第二,从技术发展的角度来看,IDS 与IPS 的方向各有侧重。IPS重在深层防御,追求精确阻断。是防御入侵的最佳方案。它弥补防火墙或IDS对入侵数据实时阻断效果的不足。在提升性能效率的同时,必须不断的追求精确识别攻击的能力、抗躲避能力,没有误阻断的深层防御才算有效,否则防御的代价就是影响正常业务。IDS重在全面检测,追求有效呈现。是了解入侵状况的最佳方案,会长期存在且不断发展。IDS除了完善入侵行为识别全面性以外,还要通过统计数据分析、多维报表呈现等管理特性,更加直观的让用户了解入侵威胁状况和趋势,以便支撑治理入侵的最佳思路。
第三,使用方式不同:IPS是串行链路安装,是网关控制类产品,只关注串行线路上的入侵防御。IDS是旁路安装,是安全检测、监控分析类产品,检测与关联的面更广,帮助用户发现、了解、统计、分析入侵威胁状况(如图1-3);前者重控制,后者重管理 。
第四,设计思路不同:由于IPS在线工作,相比IDS而言,IPS增加数据转发环节,这对系统资源是一个新消耗。要保障IPS数据处理效率,IPS必须与IDS资源分配重心不同,为了降低在线等待时间,IPS事件响应机制要比IDS更精确更迅速,误报高、响应慢的事件在IPS没有存摘自:7彩论文网毕业论文选题www.7ctime.com
在的意义。同时IPS中统计分析、报表呈现等管理特性为提升效率也必须作出一定的让步。所以若厂家的IPS与IDS的检测事件库相则说明IPS效率未达到最优状态。
四、如何选择应用IDS和IPS
入侵防御系统侧重于对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。IDS系统能够实现深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。从产品应用的位置来讲:入侵检测系统需要安装在在网络内部的中心点,这样才能全面检测网络的运行情况。一般大型网络里面均包含逻辑隔离的子网,这样的话就必须在每一个子网分别安装IDS分析引擎,并综合处理各事件分析,才能对整个网络的运行情况进行监控。入侵防御系统需要安装在网络系统的边界。所有想进入本局域网的数据必须首先经过IDS系统,这样就可实时地对所有数据进行分析,一旦发现有攻击行为就立即阻断,确保攻击数据不能通过网络边界进入本局域网。由此可见,IDS系统的核心价值在于通过对整个网络的运行状况分析,帮助系统管理员了解网络系统的安全状况,从而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对入侵行为的阻击。这样一来,我们就能根据需要对其进行选择了。
参 考 文 献
瞿胜军.精确阻断与有效呈现[J].硅谷,2007,8,30
潘弘.全面检测与精确阻断-谈商业银行如何选择IDS与IPS[J].金融时报,2007第012版
[作者简介]梅光(1985.12-),男,湖北黄冈人,现任南水发电公司信息中心计算机技术员,本科学历,助理工程师,研究方向:小型企业网络安全。