论IPS是否可以彻底取代IDS.pdfVIP

SILIC 【科技创新论坛 】 舞 VAL 论IPS是否可以彻底取代IDS 陈…佳 (福州卓远文化传播有限公司 福建 福州 350000) 摘 要： IPS(入侵防护系统)一经 问世就立刻成为网络安全领域的宠儿，其原因在于IPS提出主动对主机和网络运行情况进行实时监控，具备 自动阻截和在 线运行的功能。如果单从理论和技术的角度来说，比起只能被动监视ff~IDS(入侵检测系统)而言，IPS确有许多优势，但IPS果真如理论中那么完美吗?在实际应 用中，IPS仍存在性能瓶颈、误报率高、单点故障、自主安全等方面的缺憾 。因此IPS全面取代1DS的时代 尚未到来。 关键词： IDS：IPS；网络安全 中图分类号：TP3 文献标识码：A 文章编号：1671—7597 (2010)0510165—01 几年前，当IPS (入侵防护系统)的概念被提 出时，由于IPS增加了对 但是，IPS并不是完美 的，它也有缺陷：① 性能瓶颈。由于IPS产 品 入侵 的主动阻断功能， 时‘间IPS取代IDS(入侵检测系统)的呼声 日渐高 是串联地部署在网络出口处，对进出网络的数据一一监控，如果没有高效 涨。时至今 日，IPS和IDS的现状如何?IPS又真的能否彻底取代IDS呢?这 的处理方法，势必影响到网络性能。这也是一些UTM产品始终无法被用户所 一 切都要从IDS和IPS各 自的优缺点说起 。 接受的原因。② 单点故障。由于IPS实行的是 种失效即阻断机制，一旦 1IDS(入侵检测系统 ) IPS设各出现故障，会造成网络中断，形成单点故障。③ 自主安全。 目前 入侵检测 (IntrusionDetection，ID)即是对入侵行为的发觉。它 国内市场的IPS产 品 L乎都是国外的产品或者是OEM国外的产品，作为网络 通过收集和分析计算机网络或计算机系统中若干关键点的信息，检杏网络 出 口处一个重要 的安全产品，如果没有 自主的核心技术 ，对于政府 、金 或系统中是否存在违反安全策略的行为和被攻击的迹象[1]。作为一种重要 融、人型国有企业等涉及国家敏感信息的行业是根本不能够接受并使用 的安全技术，作为对防火墙的一种合理补充，入侵检测不仅能够揪出系统 的。在定制符合中国国情、符合企业特定需求的能力保障提供方面，国外 入侵者的非授权使用，同时也能够识别系统合法用户的滥用行为。 的产品是无法做到这一点的。 目前，IDS的应用主要包括以F方面：① 在防火墙提供访问控制的基 如此说来 ，IPS未必就真 的能够彻底取代IDS，因为二者是各有所长 础上，对外部的入侵行为进行监控，分析用户行为及系统活动，判断识别 已 的。 知的攻击模式并及时报警；② 统计分析异常行为模式，对网内用户违反安 1)IPS是串联接入 网络的，关注的是 串行线路上的入侵防御 ；IDS是 全策略的操作进行审计和跟踪，保障内网安全；⑧ 对 日新月异的针对系统 旁路接入的，其侧重点是发现、了解、统计、分析入侵危险状况 。前者重 漏洞的攻击进行实时的跟进，将网络遭受攻击后所受到的损失降到最低。 控制，后者重管理。 随着IDS使用的普及和深入，人们渐渐发现，IDS产品的使用效果并没 2)由于IPS在线工作，相LLIDS而言，IPS增加数据转发环节 ，这对系 有一开始预期的那么好，多数用户认 为，IDS的主要缺陷有以下几个方面 统资源是一个新消耗，因此 IPs对系统速度的影响显然比IDS要大，但与之 [2]：① 误报、漏报现象严重。IDS每天都会发出成千上万条报警信息，要