RSS

解读IDS和IPS差异 两者或将共存

IPS主动防护

尽管IDS是一种受到企业欢迎的解决方案,它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击或老式攻击的变形,它们也不能对加密流量中的攻击进行检测。

而入侵防护系统(IntrutionProtectionSystem,IPS)则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。

IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。

简单地理解,IPS等于防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能。

和防火墙比较起来,IPS的功能比较单一,它只能串联在网络上,对防火墙所不能过滤的攻击进行过滤。一般来说,企业用户关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。

但这并不是说入侵检测系统就没有用处,在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计跟踪产品结合,可以提供针对企业信息资源的全面审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。

IPS目前主要包含以下几种类型:1、基于主机的入侵防护(HIPS),它能够保护服务器的安全弱点不被不法分子所利用;2、基于网络的入侵防护(NIPS),它可通过检测流经的网络流量,提供对网络系统的安全保护,一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话;3、应用入侵防护,它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。

[时间:2010-08-14]
相关文章