【内容导航】

文本tag： utm/ids/ips

如何选择ips
市场上既有独立的ips设备，如iss的proventa系列、mcafee的intrushield系列、juniper的idp系列，也有安全厂商将入侵防护的功能集成到安全设备当中，例如赛门铁克、watchguard、sonicwall等都将入侵防护作为一个功能模块集中到自己的安全网关设备当中。独立的设备和集合式的网关各有优点和不足。
陈联认为，独立的设备在性能方面有保障，还有助于进一步进行功能扩展。mcafee计划在ips设备中添加acl等功能，使其主动阻止入侵的特点更加鲜明，而juniper也打算将防火墙、vpn、idp集成为一个产品。
在面对集成形式的ips时，用户通常会有三种疑虑：一是当多种安全功能整合在一起时，每台设备会增加开销；二是当多种安全功能组合在一起时，设备管理变得更加困难；三是设备的性能会受到影响。赛门铁克的技术经理郭训平认为，集成产品不是简单的堆砌，而是深度整合，所以在功能上不但不会损失反而还会加强，而适当开启和关闭某些功能模块可以使这种集成产品保持出色的性能。
除了考虑ips的实现形式外，陈联建议用户从性能、检测准确性以及稳定性三方面入手选择ips。首先，由于ips是以在线方式接入网络的，这就要求ips必须具有一定的性能，不会拦截合法流量，不会过度影响网络或主机的性能。如果ips的性能对合法流量产生了瓶颈作用，那么就不是一款合格的产品。其次，检测的准确度反映了ips 是否会拦截合法流量以及是否能够对多数常见攻击进行检测和拦截，如果一个 ips设备会拦截合法流量的话，就不能称为一个合格的嵌入式ips设备。面对多种常见的逃避技术时，ips是否依然能够检测和拦截基本的攻击，这对用户具有重要意义。对于ips设备来说，设备故障可能导致网络崩溃，因此ips的稳定性对于保护网络的正常运行至关重要。
juniper的工程师认为，延时和响应时间也是考察ips的一项重要指标。不同ips的延时和响应时间是不同的，进而所起的保护作用也是有区别的，用户需要弄清自己所能接受的ips的最高延迟时间。
某证券机构在几个月前，通过天刚数码购买了juniper idp设备。该证券公司的it主管夏先生认为一个出色入侵防护的系统应该符合三项标准：一是不阻碍日常流量，网络型ips不应影响到网络性能和产生延迟效应，主机型ips则不得占用10%以上的系统资源；二是应当采用多种算法，不能局限于提供类似于防病毒功能的阻断方式；三是最好能够分辨攻击事件和正常事件，能够提醒管理人员可疑事件，以便做进一步调查。
ips的五大作用
◆阻断利用系统漏洞进行传播的病毒和蠕虫
◆ 阻止拒绝服务攻击
◆ 对付试探扫描
◆ 对付未知攻击和“零日攻击”
◆ 保护在线应用
编看编想
ips只是主动防护的一部分
◆ 宋丽娜
当国外用户在为选择哪种品牌的ips而发愁时，大多数国内用户还在ids和ips之间难以抉择。不过，国内高端用户（如电信、金融等）对ips的接受之快还是出乎从事ips研究的厂商意料之外。ips市场的启动与主动防御理论的接受程度息息相关，在国外，ips已被广泛接受，而在国内，ips的市场仍在教育和培养之中。
在采访中，有专家认为，入侵防护应该是由多种安全设备组成的安全体系共同来实现，而不是由ips这种设备单独来完成，ips只是主动防护的一部分，而不是主动防护的全部。东软信息安全的曹斌博士就持这种观点。持这种观点的专家指出，主动防护系统还需要加入应用级防火墙与应用级ids，应用级的ids产品能够重组信息流，跟踪应用会话过程，并准确描述和识别攻击，而应用级的防火墙能够阻断向应用层发起的攻击，保护web应用。其实，上述这种观点是有渊源的。早在2001年，check point、天融信等厂商所提倡的防火墙和ids的联动，就是希望通过不同设备的分工配合实现主动防护的功效，只是这种联动实现起来还存在一定困难，需要厂商找到提高联动效率和协同准确性的有效途径。
在这里仍有必要为饱受争议的ids再说几句公道话，在主动防御渐入人心之时，担当网络警卫的ids的报警作用更加重要。尽管ids功过参半，但是ids的报警功能仍是主动防御系统所必需的，也许ids的产品形式会消失，但是ids的检测功能并不会因形式的消失而消失，只是逐渐被转化和吸纳到其他的安全设备当中。

【内容导航】

文本tag： utm/ids/ips

大约在两年前，ips（入侵防护）的概念被推到了台前。由于ips增加了对入侵的主动阻断功能，一时间ips取代ids（入侵检测）的呼声日渐高涨，而gartner发表的“ids将死、ips获胜”言论更是让这两种技术的争斗达到了白热化。如今，距离“ids灭亡论”发表已经有一年多时间了，那么ids和ips的现状又是如何？接下来，就让我们来逐一看个究竟。 近期，我们在《网络世界》网站（）上，围绕目前用户对ids和ips的应用及需求状况进行了调查，收到的大量读者反馈反映了人们对ids和ips的关注程度。我们从中选出100份有效问卷，根据问卷分析发现，59%的用户部署了ids，27%的用户将ids列入购买计划，62%用户在关注ips，并且7%的用户有意向购买ips，ids和ips在国内都呈现出繁荣发展的热闹景象。
ids功过自有公论　
在国内，ids没有受到“灭亡论”的太大影响，尤其是近年来，ids在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中，我们都能发现ids的身影。一位证券公司的it主管告诉记者，随着企业网络结构的不断扩大和日益复杂，由内部员工违规引起的安全问题变得突出起来，防火墙、防病毒等常规的安全手段只能对付外部入侵，而对于内部违规行为却无能为力，而ids可以审计跟踪内部违反安全策略的行为。另一位汽车销售网的it工程师认为，ids可以记录、报警各种安全事件，有利于进行安全审计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。像证券公司it主管和汽车销售网的it工程师这样认为ids的贡献大于麻烦的用户占53%。
联想信息安全的cto刘科全告诉记者，促使ids得到广泛应用的另一个因素是，slammer、冲击波等针对系统漏洞的攻击不断增多，新的软件漏洞不断被发现，一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中，从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短，用户需要一种可以检测攻击的有效工具，ids就是其中的一种。
我们同时也看到，也有很多用户反应ids带来的麻烦大于贡献。某经济研究院的信息中心刘主任告诉记者，ids的误报率太高，只要一开机，便响个不停，在每天发出的上万条的报警信息中，真正有价值的信息却寥寥无几，而从上万条信息中挖掘出有用信息费时又费力，通常需要设立专人负责管理ids，这在缺乏it人才的企业中是很不现实的。刘主任的观点很具代表性，47%的用户持这种观点。
ids的困惑
调查显示，误报和漏报严重、海量信息难以分析、难以与其他设备进行联动、难以部署、存在安全隐患是始终不离ids左右的老问题（见图一）。其中，前两者是用户反应最为强烈的问题，各式各样的ids设备都存在不同程度的误报和漏报现象。即使认为ids贡献大的用户也同样遭遇误报和漏报的困扰，只不过在权衡误报、漏报以及检测入侵方面，这些用户更看重后者。海量信息难以分析也影响了用户对ids的使用，36%的用户认为ids存在少量信息难以分析。
对于误报和漏报，刘科全认为，这主要是与ids检测机制的缺乏有关。综合运用多种检测机制，包括特征对比、协议异常分析等技术，可以显著降低ids的误报和漏报，ids同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。
除了上述不足之外，许多用户还对主机型ids的安全性提出了置疑。目前的ids可以分为主机型、网络型、混合型三种。混合型ids已经不多见，已逐渐淡出市场。网络型ids的原理是识别反映已知进攻，对异常行为模式进行统计分析，进行事后审计追踪，对安全事件发出报警。主机型ids的原理是监视分析用户及系统活动，评估重要系统和数据文件的完整性，识别用户违反安全策略的行为，进行系统配置和弱点审计。在选择主机型产品还是网络型产品方面，92%的用户选择网络型的产品。由于主机型产品是以软件形式部署在服务器上，用户担心主机型ids存在后门，会影响关键服务器的安全水平，同时会降低服务器的运行效率。
ids需要提高
85%的用户不满足于ids的现有功能，认为ids仍有必要进一步改进功能。用户希望ids能够按紧急程度不同发出报警、生成详细报告、分析攻击事件、真正实现与安全设备的联动（见图二）。中科院软件所的研究员冯登国认为，未来的ids还需要面向宽带高速实时的网络环境，引入数据挖掘、分布式部署、免疫和神经网络技术，并且适应ipv6的技术要求。
ids厂商并没有忽视用户需求，对ids一直进行着改进。例如，启明星辰在天阗入侵检测与管理系统v6.0中，利用流量监控发现异常技术，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间的对应关系，给出入侵威胁和资产脆弱性之间的风险分析结果，能够有效管理安全事件并进行及时处理和响应。从功能上来看，天阗入侵检测与管理系统v6.0已不再是单纯的入侵检测系统，而体现了管理入侵的思想。赛门铁克将蜜罐诱捕技术引入ids当中，增加ids应对未知攻击的防护能力。