独立还是统一？浅析IDS与IPS共生与发展.docVIP

　　独立还是统一？浅析IDS与IPS共生与发展～教育资源库 　　入侵检测系统(IDS)是一种动态安全技术，但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内，IDS和IPS将共同存在。 　　存在的发展观 　　IDS与IPS的发展其实非常有意思，因为他们的出现与发展的时间间隔并不长，而且到目前为止，各自都有坚定的用户与支持者，当然，各自的缺点也非常明显。在此，虽然有不少人认为IPS终将取代IDS而成为主流(有些人甚至认为UTM也是IPS的终结者)，但记者并不敢全部认同。 　　在IT产业中，这么多年了，从来没有过技术主导一切的定论，国内也是一样。君不见微软战胜苹果，TCP/IP搞掉OSI，道理很简单：适合的就是最好的。虽然技术很重要，但是也要考虑到用户的接受程度、应用水平与经济能力，尤其是在国内。 　　记者一直认为，IDS在国内发展的一个重要领域是教育，虽然很多IPS厂商也认为教育是其主要市场，但作为先来者，IDS和很多全网安全方案的结合，帮助了其进一步存活的可能性，当然荷包不足的用户也是其发展的另一个条件。 　　当然，记者的意思并非IDS将会一路高歌，恰恰相反，很多用户对于发现问题后及时采取行动的呼声与愿望越发高涨，眼下所担忧的仅仅是这种行动不要由于误打误撞而导致灾难。不管怎么说，这种愿望还是造成了眼前IDS与IPS的边界越来越模糊(甚至是和少数初级的UTM)----发现问题，采取一点点用户心理上能够承受的行动。 　　从防火墙到IDS 　　其实回忆早前防火墙在国内的应用可以发现，用户对于安全设备的理解与掌握，往往花费的时间都比较长。 　　现在国内用户对防火墙已经有了很高的认知和应用水平(至少对ACL的配置选择已经不在陌生)，并认可了其网络大门的地位。但不可否认，防火墙采用规则匹配的原理，对于内容的控制并不严密。虽然少数高端产品可以对应用协议进行动态分析----边界模糊的另一种证明----，但这样仍不能对进出网络的数据进行分析，特别是对网络内部发生的事件完全无能为力。 　　Juniper公司的工程师向记者表示，由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。因此如果把放火防火墙比作大门警卫的话，IDS就是网络中不间断的摄像机。IDS通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案 　　在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出，当前市场上存在的IDS可以分为以下两种：主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志，所以需 要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。而NIDS的分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。 　　从技术上说，无论采用HIDS还是NIDS，都能发现对方无法检测到的一些入侵行为，可互为补充，完美的IDS产品应该将两者结合起来。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。 　　对一个成功的IDS系统来讲，它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供指南。更为重要的是，IDS大多管理、配置简单，从而使企业人员可以非常容易地获得网络安全。另外，好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变。 　　IDS系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括：监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理，并识别违反安全策略的用户活动等。 　　另外，一些业内的主流厂商，如Cisco、Checkpoint、ISS以及华为3等，他们一般采用基于模式匹配、异常情况或者完整性分析的判断方法。 　　对于基于模式匹配的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现，此方法非常类似杀毒软件;而基于异常情况的检测技术则是先定义一组系统正常情况的数值，如CPU利用率、内存利用率、文件校验等，然后将系统运行时的数值与所定义的正常情况比较，