+设为首页 +添加到收藏夹
编者按:本文从分析入侵检测系统ids与入侵防御系统ips的优势与缺陷入手,着重阐明两者在当前网络与信息安全体系建设中不可或缺的地位,认为应该突破ips与ids势不两立的理念,使两者能够不断创新、相辅相成,共同为网络与信息安全建设服务。文中还提供了协同部署防火墙、ids与ips的高可用性(ha)网络与信息安全解决方案,以供信息安全工作者与广大用户参考。
【相关文章:Cisco路由器的安全配置简易实例】 【扩展阅读:基于Webshell的sniffer可行】2003年8月,gartner公司副总裁richard stiennon发表的一份名为«入侵检测已寿终正寝,入侵防御将万古长青»的报告,提出入侵检测系统intrusion detection system(ids)已经难以适应客户的需要。ids不能提供附加层面的安全,相反增加了企业安全操作的复杂性。入侵检测系统朝入侵防御系统intrusion prevention system(ips)方向发展已成必然。 【扩展信息:利用CISCO路由器建立企业网络的安全机】 一石激起千层浪。刚刚从ids脱颖而出的ips,一时间竟然成了ids的天敌。两年多来,尽管事实上ids非但没有退出安全产品阵列,反而不断更新、依然占领着继防火墙之后第二大的安全产品市场份额,但是ids行将就木的宣传不仅引发了信息安全体系建设上的争执与混乱,而且给客户的信息安全产品选型造成了不应有的压力与彷徨。 1. ids的功能与缺陷 ids本质上是一种监听系统,它依照一定的安全策略,对网络与系统的运行状况进行监测,尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果,以保证信息系统的机密性、完整性与可用性。ids可分为主机型hids与网络型nids,目前主流ids产品均采用两者有机结合的混合型架构。 1.1 ids的传统优势 nids使用原始网络信息作为数据源,利用运行在随机模式下的网络适配器实时监听与分析通过网络的所有通信,收集相关信息并记入日志;而hids则通常安装在被检测的主机之上,与该主机的网络实时连接,负责对系统审计日志进行智能分析与判断。若发现非法入侵或者违反统计规律的行为异常,ids会立即发出警报,由系统管理员进行决策处理。ids的传统优势在于: 整体部署,实时检测,可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型,对用户当前的操作进行判断,及时发现入侵事件; 对于入侵与异常不必做出阻断通信的决定,能够从容提供大量的网络活动数据,有利于在事后入侵分析中评估系统关键资源与数据文件的完整性; 独立于所检测的网络,黑客难于消除入侵证据,便于入侵追踪与网络犯罪取证; 同一网段或者一台主机上一般只需部署一个监测点就近监测,速度快,拥有成本低。 1.2 ids的明显缺陷 ids最明显的缺陷有: 被动防御的监听方式限制阻断。目前ids只能靠发阻断数据包来阻断建立在tcp基础上的攻击,对于建立在udp基础之上的入侵则无能为力; 基于特征的入侵检测技术落伍。由于缺少信息管理,难于抵挡canvas与metasploit等欺骗工具的攻击与渗透; 误报与漏报率高于客户预期。有些ids产品每天会产生大量的异常报告,其中绝大多数属于非攻击行为,需要具有相当专业水准的网络安全管理员进行甄别,有时甚至会给客户造成难于忍受的负担; 对于检测主机的依赖性。... 下一页