入侵侦测防护最新产品.docVIP

IPS(IDP)闪亮登上网安舞台 在过去的两年中，入侵检测(IDS)技术一度被炒得热火朝天，而去年6月，Gartner的一份非常著名的报告很果断地宣告了IDS技术的死刑，它宣布入侵防御(IPS)将成为IDS的掘墓人。到底IPS这个新秀有何高明之处，使得它在网安舞台一登场便引得如此高的实力指数？ ???据国外安全厂商NetScreen的技术专家介绍：相对于IDS的被动检测及误报等问题，IPS是一种比较主动、机智的防御系统。从功能上讲，作为并联在网络上的设备，绝大多数IDS一般需要与防火墙联动或发送TCPreset包来阻止攻击。而IPS本身就可以阻止入侵的流量。 ????业界人士从技术上阐述，IDS系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，用户往往淹没在海量的报警信息中，而漏掉真正的报警; ????由于标准不统一，入侵检测系统与防火墙之间不易联动；此外，IDS只能报警而不能有效采取阻断措施的设计理念，也不能满足用户对网络安全日益增长的需求。相反，IPS系统则没有这种问题，它通过多重检测机制，粒度更细的规则设定，能够更敏锐地捕捉入侵的流量，并能将危害切断在发生之前。业界人士认为IDS的发展走向有两个明显的趋势，一是走向事件的关联和挖掘，实现全网安全事件的集中管理；一是从IDS到IPS,这是市场需求和黑客技术发展的必然趋势。 ????但IPS能否真正取代IDS，来自总参的一位技术专家认为，IDS＋防火墙的联动防护机制跟IPS会在今后相当长的时间内并存，IPS的发展势头会更好一些。但IPS并不是防火墙的替代者，至少在当前，IPS与防火墙的互补作用还十分明显，防火墙负责提供3-4层的基本安全环境和高速转发能力，而IPS负责4-7层流量的小粒度控制。 ????事实上，在电信级流量背景下，首先通过高性能的防火墙过滤掉非法的流量， 进入IDP系统的流量大为减少，这使进行4-7层的深层检测负荷大为减少。同时，面对CodeRed、MyDoom等各种第七层攻击，多数防火墙都无法有效防御，而IDP这种产品却可以很好地应对类似的攻击。因此，IPS作为大型网络中的第二层防护，用以保护关键的业务和应用是必要的。 ????安全的重点在于机制、在于管理，也就是安全策略，技术只是一种手段、工具。我们在寻求产品的时候，应该寻求技术与管理融合的方式。帮助用户做好实施工作是他们在产品推广中的重点，为此成立了Netscreen IDPer 俱乐部， 推广主动防御的网络安全理念，介绍网络安全的最新技术和推动技术与管理的融合。 ????随着时间的推移，我们相信IPS(IDP)会象防火墙一样成为4-7层的深层检测防火墙，作为网络入口的第二道阀门，是用户不可或缺的网络安全产品。 入侵检测防护 最新产品NetScreen-IDP 　产品特点 　　NetScreen的最新产品NetScreen-IDP采用的是崭新的IDP（入侵检测和防护）技术，它可以打破NIDS（网络入侵检测系统）的以上瓶颈。NetScreen-IDP 采取了一系列的革新技术。第一个革新是采用多重方法检测技术（Multi-Method Detection，MMD），NetScreen采用了8种不同的检测方法以强化检测力，同时减少错误报警。这些检测方法包括协议异常检测、流量异常检测以及一些专利技术，如：状态签名(Stateful Signature)、后门检测(Backdoor Detection)等。第二个革新是NetScreen-IDP 采用了一个带内（in-Line）解决方案，这是惟一能对付潜逃的技术，提供真正入侵防护的方法。第三个革新是基于规则的中央式管理的构架。集中管理使管理员能精确控制NetScreen-IDP 的水平，同时简化安全策略和签名更新的作业。 　　NetScreen-IDP100产品示意图?????????????????? 　　多重方法检测（MMD）提高精确度 NetScreen-IDP 系统通过应用协议异常、状态签名、流量异常、后门、同步攻击（Syn-flood）、IP欺骗（IP spoof）、第二层检测以及网络陷阱（network honeypot）等8种不同的检测方法，能准确地识别入侵。不像其他厂商那样应用一个单一入侵检测机制去驱动整个产品架构，NetScreen-IDP 的架构设计能支持上述所有检测方法。这些方法共享信息，并且用更有效的方式一起去识别网络和应用层中的所有形式的攻击。同时，这些检测方法都是针对以高数据速率进行分析而被优化的，从而确保性能未能受到影响。由于NetScreen-IDP 能提供一个全面的覆盖，用户不需要费神决定，到底是买一个基于协议异常的系统还是基于签名的系统，或者需要两台或更多的产品。另外，多方