IDS和IPS技术浅析.docVIP

IDS和IPS技术浅析 　　摘要：随着网络时代的飞速发展，网络安全问题也日益突出，网络安全技术也随着人们日益增长的安全需求而不断发展。本文对IDS和IPS两种安全技术进行了简要分析。讨论了两种安全技术的技术特点并对其之间的关系进行了初步研究。 　　关键词：IDS；IPS；网络安全 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-02 　　一、入侵检测系统的优劣性分析 　　IDS系统是在防火墙后比较新的网络安全技术。它具备实时监视和分析所在网络中的安全事件，以寻找可疑的危机网络或计算机系统的入侵行为。 　　IDS系统可以对计算机系统或网络的内部攻击、外部攻击以及误操作等行为进行实时防护，并事先报警、拦截和响应。它有如下功能：1，它具备通过检测并记录计算机网络中的安全事件，防止网络侵入事件的发生；2，它具备检测黑客在攻击前的探测行为并进行预警；3，它具备报告企业网络系统中存在的漏洞和威胁，并提供有关攻击的信息，可以帮助系统管理员对其进行进一步的完善； 　　IDS并联在线路上（如图1-1）主要优势是监听网络流量，不会影响网络的性能。 　　虽然在理论上，IDS对用户不是必需的，但它的存在确实减少了网络的威胁。有了IDS，就像在一个大楼里安装了监视器一样，可对整个大楼进行监视，用户感觉很踏实，用IDS对用户来说是很值得的。随着IDS应用的一步步深入，一些问题也逐渐德显现出来。 　　（一）误报和漏报率高。IDS把入侵的行为和手段进行统计，分析其特点，找出其中的主要特征规律。检测的方法主要是判断网络中搜集到的数据特征是否与入侵模式库中的数据匹配，面对日新月异的成百上千的新的攻击方法和漏洞，攻击特征库的更新必然会出现延迟是造成IDS漏报的一大原因。而通过寻找异常的IDS通过流量统计和分析建立起来的系统正常运行的轨迹，当数据超过正常范围时则被认为受到攻击，这本身就容易造成误伤。 　　（二）没有主动防御能力。IDS技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。 　　（三）没有准确定位和处理机制。IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。 　　（四）性能不足。IDS系统数据处理的速度不够，即便IDS一般是以并联方式与网络连接的，但如果其检测和处理数据的速度与网络传输的速度相差较大的话，IDS系统的检测系统就会漏掉相当部分数据包，这样就造成漏报，影响其系统的准确性。在IDS系统中，分析其截获的每一个数据包是否含有威胁到网络系统安全的特征，并与特征数据库进行匹配，是一件巨大的工作，需要消耗大量的系统资源。目前大部IDS系统的检测速度只有几十兆，随着网络速度的逐步提升，千兆网络现在也很普遍了，IDS系统的速度已经远远落后于网络速度的发展了。 　　二、入侵防御系统的优劣性分析 　　IPS入侵防御系统主要设计目标是实时检测与主动防御。为达到该目标，IPS在如下几个方面实现了技术突破：1.串联安装，IPS具有IDS实时检测的技术与功能，但是却采用了防火墙式的串联安装，所有进入局域网的数据必须通过其安全检测才能进入；2.实时阻断，IPS能够预先对不安全的网络流量进行拦截，避免其造成损失；3.检测技术先进。并行处理检测与协议重组分析是重点。并行处理检测的工作是所有通过IPS的数据包，都需要用并行处理方法进行全面过滤器和匹配，遍历所有数据包只需要一个时钟周期；而协议重组分析指的是所有通过IPS系统的数据包，首先要经过高速的硬件级预处理，重组数据包，明确其使用的协议。然后，IPS系统会根据不同协议的特征和攻击方式，重组后的数据包进行筛选，将有可疑的数据包送入特殊的特征库进行匹配，这样就提高检测的质量和速度；4.具有特殊规则植入功能。IPS系统可以植入特殊的规则，用来阻止恶意的代码。IPS系统能够辅助实施可接收应用策略，例如使用对等的文件共享应用以及占用大量带宽资源的免费的互联网电话服务工具等是能够被禁止使用的；5.具有自主学习与自动适应的能力。面对黑客们处心积虑、日新月异攻击方法手段，IPS系统必须具备人工智能的自主学习和自动适应的能力。这样才能够根据所在网络的被入侵状况，分析抽取新的攻击方法特征并及时更新特征库，会自动的总结经验和定制新的具有针对性的安全防御策略。IPS系统的主动防御的优势同时也决定了它的弱点： 　　（一）成本偏高。庞大的实时计算需求势必消耗大量系统资源，这决定了IPS必须选用相对高端的计算设备，价钱自然就水涨船高了。 　　（二）单点故障 IPS串联在链路上（如图1-2）才有阻断能力，而这