入侵檢測系統與入侵防御系統的區別

1. 入侵檢測系統(IDS)

IDS是英文“Intrusion Detection Systems”的縮寫(xiě)，中文意思是“入侵檢測系統”。專(zhuān)業(yè)上講就是依照一定的安全策略，對網(wǎng)絡(luò )、系統的運行狀況進(jìn)行監視，盡可能發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡(luò )系統資源的機密性、完整性和可用性。

我們做一個(gè)比喻——假如防火墻是一幢大廈的門(mén)鎖，那么IDS就是這幢大廈里的監視系統。一旦小偷進(jìn)入了大廈，或內部人員有越界行為，只有實(shí)時(shí)監視系統才能發(fā)現情況并發(fā)出警告。

與防火墻不同的是，IDS入侵檢測系統是一個(gè)旁路監聽(tīng)設備，沒(méi)有也不需要跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò )流量流經(jīng)它便可以工作。因此，對IDS的部署的唯一要求是：IDS應當掛接在所有所關(guān)注的流量都必須流經(jīng)的鏈路上。在這里，“所關(guān)注流量”指的是來(lái)自高危網(wǎng)絡(luò )區域的訪(fǎng)問(wèn)流量和需要進(jìn)行統計、監視的網(wǎng)絡(luò )報文。

IDS在交換式網(wǎng)絡(luò )中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護資源。

這些位置通常是：

服務(wù)器區域的交換機上;

Internet接入路由器之后的第一臺交換機上;

重點(diǎn)保護網(wǎng)段的局域網(wǎng)交換機上。

2. 入侵防御系統(IPS)

IPS是英文“Intrusion Prevention System”的縮寫(xiě)，中文意思是入侵防御系統。

隨著(zhù)網(wǎng)絡(luò )攻擊技術(shù)的不斷提高和網(wǎng)絡(luò )安全漏洞的不斷發(fā)現，傳統防火墻技術(shù)加傳統IDS的技術(shù)，已經(jīng)無(wú)法應對一些安全威脅。在這種情況下，IPS技術(shù)應運而生，IPS技術(shù)可以深度感知并檢測流經(jīng)的數據流量，對惡意報文進(jìn)行丟棄以阻斷攻擊，對濫用報文進(jìn)行限流以保護網(wǎng)絡(luò )帶寬資源。

對于部署在數據轉發(fā)路徑上的IPS，可以根據預先設定的安全策略，對流經(jīng)的每個(gè)報文進(jìn)行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統計分析、事件關(guān)聯(lián)分析等)，如果一旦發(fā)現隱藏于其中網(wǎng)絡(luò )攻擊，可以根據該攻擊的威脅級別立即采取抵御措施，這些措施包括(按照處理力度)：向管理中心告警;丟棄該報文;切斷此次應用會(huì )話(huà);切斷此次TCP連接。

進(jìn)行了以上分析以后，我們可以得出結論，辦公網(wǎng)中，至少需要在以下區域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡(luò )的連接部位(入口/出口);重要服務(wù)器集群前端;辦公網(wǎng)內部接入層。至于其它區域，可以根據實(shí)際情況與重要程度，酌情部署。

3. IPS與IDS的區別、選擇

IPS對于初始者來(lái)說(shuō)，是位于防火墻和網(wǎng)絡(luò )的設備之間的設備。這樣，如果檢測到攻擊，IPS會(huì )在這種攻擊擴散到網(wǎng)絡(luò )的其它地方之前阻止這個(gè)惡意的通信。而IDS只是存在于你的網(wǎng)絡(luò )之外起到報警的作用，而不是在你的網(wǎng)絡(luò )前面起到防御的作用。

IPS檢測攻擊的方法也與IDS不同。一般來(lái)說(shuō)，IPS系統都依靠對數據包的檢測。IPS將檢查入網(wǎng)的數據包，確定這種數據包的真正用途，然后決定是否允許這種數據包進(jìn)入你的網(wǎng)絡(luò )。

目前無(wú)論是從業(yè)于信息安全行業(yè)的專(zhuān)業(yè)人士還是普通用戶(hù)，都認為入侵檢測系統和入侵防御系統是兩類(lèi)產(chǎn)品，并不存在入侵防御系統要替代入侵檢測系統的可能。但由于入侵防御產(chǎn)品的出現，給用戶(hù)帶來(lái)新的困惑：到底什么情況下該選擇入侵檢測產(chǎn)品，什么時(shí)候該選擇入侵防御產(chǎn)品呢?

從產(chǎn)品價(jià)值角度講：入侵檢測系統注重的是網(wǎng)絡(luò )安全狀況的監管。入侵防御系統關(guān)注的是對入侵行為的控制。與防火墻類(lèi)產(chǎn)品、入侵檢測產(chǎn)品可以實(shí)施的安全策略不同，入侵防御系統可以實(shí)施深層防御安全策略，即可以在應用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當然也是入侵檢測產(chǎn)品所做不到的。

從產(chǎn)品應用角度來(lái)講：為了達到可以全面檢測網(wǎng)絡(luò )安全狀況的目的，入侵檢測系統需要部署在網(wǎng)絡(luò )內部的中心點(diǎn)，需要能夠觀(guān)察到所有網(wǎng)絡(luò )數據。如果信息系統中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統中實(shí)施分布部署，即每子網(wǎng)部署一個(gè)入侵檢測分析引擎，并統一進(jìn)行引擎的策略管理以及事件分析，以達到掌控整個(gè)信息系統安全狀況的目的。

而為了實(shí)現對外部攻擊的防御，入侵防御系統需要部署在網(wǎng)絡(luò )的邊界。這樣所有來(lái)自外部的數據必須串行通過(guò)入侵防御系統，入侵防御系統即可實(shí)時(shí)分析網(wǎng)絡(luò )數據，發(fā)現攻擊行為立即予以阻斷，保證來(lái)自外部的攻擊數據不能通過(guò)網(wǎng)絡(luò )邊界進(jìn)入網(wǎng)絡(luò )。

入侵檢測系統的核心價(jià)值在于通過(guò)對全網(wǎng)信息的分析，了解信息系統的安全狀況，進(jìn)而指導信息系統安全建設目標以及安全策略的確立和調整，而入侵防御系統的核心價(jià)值在于安全策略的實(shí)施—對黑客行為的阻擊;入侵檢測系統需要部署在網(wǎng)絡(luò )內部，監控范圍可以覆蓋整個(gè)子網(wǎng)，包括來(lái)自外部的數據以及內部終端之間傳輸的數據，入侵防御系統則必須部署在網(wǎng)絡(luò )邊界，抵御來(lái)自外部的入侵，對內部攻擊行為無(wú)能為力。

.

明確了這些區別，用戶(hù)就可以比較理性的進(jìn)行產(chǎn)品類(lèi)型選擇：

若用戶(hù)計劃在一次項目中實(shí)施較為完整的安全解決方案，則應同時(shí)選擇和部署入侵檢測系統和入侵防御系統兩類(lèi)產(chǎn)品。在全網(wǎng)部署入侵檢測系統，在網(wǎng)絡(luò )的邊界點(diǎn)部署入侵防御系統。

若用戶(hù)計劃分布實(shí)施安全解決方案，可以考慮先部署入侵檢測系統進(jìn)行網(wǎng)絡(luò )安全狀況監控，后期再部署入侵防御系統。

若用戶(hù)僅僅關(guān)注網(wǎng)絡(luò )安全狀況的監控(如金融監管部門(mén)，電信監管部門(mén)等)，則可在目標信息系統中部署入侵檢測系統即可。

明確了IPS的主線(xiàn)功能是深層防御、精確阻斷后，IPS未來(lái)發(fā)展趨勢也就明朗化了：不斷豐富和完善IPS可以精確阻斷的攻擊種類(lèi)和類(lèi)型，并在此基礎之上提升IPS產(chǎn)品的設備處理性能。

而在提升性能方面存在的一個(gè)悖論就是：需提升性能，除了在軟件處理方式上優(yōu)化外，硬件架構的設計也是一個(gè)非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+專(zhuān)用語(yǔ)言開(kāi)發(fā)，將已知攻擊行為的特征固化在電子固件上，雖然能提升匹配的效率，但在攻擊識別的靈活度上過(guò)于死板(對變種較難發(fā)現)，在新攻擊特征的更新上有所滯后(需做特征的編碼化)。而基于開(kāi)放硬件平臺的IPS由于采用的是高級編程語(yǔ)言，不存在變種攻擊識別和特征更新方面的問(wèn)題，廠(chǎng)商的最新產(chǎn)品已經(jīng)可以達到電信級骨干網(wǎng)絡(luò )的流量要求，比如McAfee公司推出的電信級IPS產(chǎn)品M8000(10Gbps流量)、M6050(5Gbps)。

所以，入侵防御系統的未來(lái)發(fā)展方向應該有以下兩個(gè)方面：

第一， 更加廣泛的精確阻斷范圍：擴大可以精確阻斷的事件類(lèi)型，尤其是針對變種以及無(wú)法通過(guò)特征來(lái)定義的攻擊行為的防御。

第二， 適應各種組網(wǎng)模式：在確保精確阻斷的情況下，適應電信級骨干網(wǎng)絡(luò )的防御需求。