浅析IDS、IPS技术.pdfVIP

计算机光盘软件与应用 2012年第 6期 ComputerCDSoftwareandApplications 工程技术 浅~：IDS、IPS技术 陈云瑞 (陕西渭河工模具总厂，陕西宝鸡 722405) 摘要 ：在网络被频繁入侵今天，为了网络不被黑客攻击，如何很好的了解和部署1DS、IPSi~_备，成为广大网络 管理员比较棘手的问题，很好的区分IDS，IPS成为当务之急。 关键词 ：IDS；IPS；网络安全防护 中图分类号：TP393 文献标识码：A 文章编号：1007—9599(2012)06—0121—02 进入21世纪，随着科学技术的不断发展，网络技术得到了 应用。从而解释了许多人误以为IPS是IDS技术的更新的认识。 空前的发展，并迅速成为我们学习、工作、生活不可或缺的一 二、两种技术产品的特点 部分，网络给我们带来快乐的同时网络安全悄然而至，黑客攻 (一)IDS技术的产品的特点 击事件频繁发生，病毒变种多种多样，国家、单位、个人的信 优点：实时检测：可根据用户的历史行为样本模型、对比 息频频泄露，给我们的学习、工作、生活带来很多不便，同时 用户当前的操作进行判断，及时发现入侵事件；整体部署：大 也给网络的安全性敲响了警钟，安全防护问题备受各方关注。 多数企业只是将IDS产品作为防火墙的一个补充设备来使用， 在网络安全防护领域上存在了IDS、IPS产品，出现了并驾 主要是由于防火墙只能阻止大多数来 自外网对内网的访问，但 齐驱的现象，于是种种学术上的争论让人难以区分，作为我们 对于必须向外网提供服务的网络协议来说就无法检测其安全， 普通用户来说更无从选择。 那么在这种情况下只能选用IDS技术产品来进行检测；完整性： 下面让我们全面的剖析一下IDS、IPS技术产品的原理及优 由于采用旁路的方式来处理网络数据包，所以在处理的时候不 缺点。 必做出阻断通信的决定的情况下进行，能够从容提供大量的网 一 、 两种技术产品的设计原理 络数据，有利于在 日后入侵分析中评估系统中保证关键数据文 IDS (IntrusionDetectionSystems的简称)，中文意思 件的完整性，该系统独立于所检测的网络，这样入侵者很难消 是 “入侵检测系统”。它属于一种监听系统，对网络系统的运 除入侵的证据，便于 日后追踪入侵者提供完整的罪证；速度快， 行状况进行监视，采用匹配技术通过一定的安全策略尽可能的 成本低：在部署的时候只需要在同一网段一个监测点，这样就 去发现各种攻击事件，用以保证网络系统中资源的机密性、完 近部署的话，系统会拥有较高的速度和低廉的成本。 整性。它以旁路的方式部署在网络中，不断的收集着网络中自 缺点：被动性：任何事物都是具有两面性的，正是由于它 己 “感兴趣”的数据包，同时与已知的网络入侵数据库作为标 是采用监听方式的入侵检测，事后报警的特性，使它在整个安 准进行 比对，通过这样的方法来发现违背安全策略的入侵行 全防御过程中处于被动防御状态，颇有些 “事后诸葛”的味 为。IDS技术在应用方面注重入侵风险管理，提升了网络管理 道，只有IDS出现威胁报警时，网络管理人员才能看到报警信 人员的能力，在本质上，入侵检测技术实际上是一种 “窥探技 息，而这个时候整个入侵事件 已经发生甚至结束，只能在备份 术”。它通常在一个端 口下，默默无闻的抓取 自己相关的数据 中可以查找到入侵的根源 。对于检测出的威胁也无法进行处 包，由于它无须转发网络中任何流量，这样做不会影响网络性 理。尤其当网络环境变得复杂时，迟钝性显的更为明显；检测 能等特点，在国内应用较广，IDS又分为主机型IDS和网络型IDS 技术落伍：基于新特征的入侵出现漏报，比如监测不到建立在 两种。由于主机型IDS需要在主机上安装软件，配置