從題庫裏找到的答案,加油!
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照壹定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
我們做壹個形象的比喻:假如防火墻是壹幢大樓的門鎖,那麽IDS就是這幢大樓裏的監視系統。壹旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。
不同於防火墻,IDS入侵檢測系統是壹個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯壹的要求是:IDS應當掛接在所有所關註流量都必須流經的鏈路上。在這裏,"所關註流量"指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。在如今的網絡拓撲中,已經很難找到以前的HUB式的***享介質沖突域的網絡,絕大部分的網絡區域都已經全面升級到交換式的網絡結構。因此,IDS在交換式網絡中的位置壹般選擇在:
(1)盡可能靠近攻擊源
(2)盡可能靠近受保護資源
這些位置通常是:
服務器區域的交換機上 Internet接入路由器之後的第壹臺交換機上 重點保護網段的局域網交換機上防火墻和IDS可以分開操作,IDS是個臨控系統,可以自行選擇合適的,或是符合需求的,比如發現規則或監控不完善,可以更改設置及規則,或是重新設置!
IPS:侵入保護(阻止)系統
導讀:侵入保護(阻止)系統(IPS)是新壹代的侵入檢測系統(IDS),可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、沖擊、方向和適當的分析,然後將合適的信息和命令傳送給防火墻、交換機和其它的網絡設備以減輕該事件的風險。
侵入保護(阻止)系統(IPS)是新壹代的侵入檢測系統(IDS),可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、沖擊、方向和適當的分析,然後將合適的信息和命令傳送給防火墻、交換機和其它的網絡設備以減輕該事件的風險。
IPS 的關鍵技術成份包括所合並的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟件和支持全球訪問並用於管理 IPS 的控制臺。如同 IDS 中壹樣,IPS 中也需要降低假陽性或假陰性,它通常使用更為先進的侵入檢測技術,如試探式掃描、內容檢查、狀態和行為分析,同時還結合常規的侵入檢測技術如基於簽名的檢測和異常檢測。
同侵入檢測系統(IDS)壹樣,IPS 系統分為基於主機和網絡兩種類型。
基於主機 IPS
基於主機的 IPS 依靠在被保護的系統中所直接安裝的代理。它與操作系統內核和服務緊密地捆綁在壹起,監視並截取對內核或 API 的系統調用,以便達到阻止並記錄攻擊的作用。它也可以監視數據流和特定應用的環境(如網頁服務器的文件位置和註冊條目),以便能夠保護該應用程序使之能夠避免那些還不存在簽名的、普通的攻擊。
基於網絡的 IPS
基於網絡的 IPS 綜合了標準 IDS 的功能,IDS 是 IPS 與防火墻的混合體,並可被稱為嵌入式 IDS 或網關 IDS(GIDS)。基於網絡的 IPS 設備只能阻止通過該設備的惡意信息流。為了提高 IPS 設備的使用效率,必須采用強迫信息流通過該設備的方式。更為具體的來說,受保護的信息流必須代表著向聯網計算機系統或從中發出的數據,且在其中:
指定的網絡領域中,需要高度的安全和保護和/或
該網絡領域中存在極可能發生的內部爆發
配置地址能夠有效地將網絡劃分成最小的保護區域,並能夠提供最大範圍的有效覆蓋率。
IDS和IPS爭議有誤區
導讀:對於“IDS和IPS(IDP)誰更能滿足用戶需求”這個問題,給人壹種二選壹的感覺。經過了長時間的反復爭論,以及來自產品開發和市場的反饋,冷靜的業內人士和客戶已經看到這根本不是壹個二選壹的問題。
對於“IDS和IPS(IDP)誰更能滿足用戶需求”這個問題,給人壹種二選壹的感覺。經過了長時間的反復爭論,以及來自產品開發和市場的反饋,冷靜的業內人士和客戶已經看到這根本不是壹個二選壹的問題。
很顯然,用戶需要的不是單壹的產品,也不是眾多產品的簡單堆砌。現在壹個比較流行的說法就是“信息安全保障體系(系統)”,也就是用戶的安全是要靠眾多技術、產品、服務和管理等要素組合成壹個完整的體系,來解決所面臨的安全威脅,以保護信息資產和正常業務。
在安全保障框架中,不同的產品、服務、措施會在不同的地方發揮作用。比如,PKI和生物鑒別機制的優勢在鑒別認證領域能夠很好地發揮作用;入侵檢測則在監測、監控和預警領域發揮優勢;防火墻和IPS能在訪問控制領域發揮長處;數據加密和內容過濾在內容安全領域獨領風騷。討論不同的安全技術領域哪個更加符合用戶的需求,其實不如探討讓各種安全技術如何有效地協同工作。
IPS真的能夠替代防火墻和IDS嗎?提供IPS(IDP)的廠商常常聲稱,其IPS能夠兼具防火墻的網關防禦能力和入侵檢測的深度檢測,企圖達到把IPS的作用上升到1+1>2的效果。但是很遺憾,實際上並不是這樣。我們必須從技術本質上尋找解決辦法。目前IPS能夠解決的主要是準確的單包檢測和高速傳輸的融合問題。
當然,檢測和訪問控制如何協同和融合,將會壹直是業內研究的課題,也將會有更多更好的技術形態出現。不管叫什麽名字,適合用戶需求的就是最好的。
三個維度區分IDS與IPS
導讀:3年前,當入侵防禦技術(IPS)出現時,咨詢機構Gartner曾經預言,IDS(入侵檢測)即將死亡,將由IPS取代,當時曾引起媒體壹片討論。2006年,咨詢機構IDC斷言,IDS與IPS是兩種不同的技術,無法互相取代。而今天,依然有很多用戶不清楚兩者之間的差別。
中國人民銀行的張漲是IDS的骨灰級用戶,對IDS玩得非常熟,但即使這樣,他也僅僅是聽說IPS而已,並沒有真正使用和見過。他的擔心是:IPS既然是網絡威脅的阻斷設備,誤報、誤阻影響網絡的連通性怎麽辦?北京銀行的魏武中也認為,如果在網絡的入口處,串接了壹串安全設備:IPS、防火墻/VPM以及殺病毒網關等,怎麽保證網絡的效率?是否會因增添壹種新的設備而引起新的單點故障的風險?
事實上,這些疑問壹直如影隨形地伴隨著IPS的誕生和發展。以至於,在很多用戶的安全設備的采購清單中,壹直在出現“IDS或IPS”的選擇,這證明用戶依然不了解這兩種技術的差別。
啟明星辰公司的產品管理中心總監萬卿認為,現在是重新審視這兩種技術的時候了。他認為,要從三個維度上認清這兩種技術的不同。
從趨勢看差別
2004年,Gartner的報告曾經預言IDS即將死亡,但無論從用戶的需求還是從廠商的產品銷售來看,IDS依然處於旺盛的需求階段,比如,國內最大的IDS生產廠商啟明星辰公司,今年上半年IDS的增長超過了50%,並且,公司最大的贏利來源依然是IDS,事實證明,IDS即將死亡的論斷是錯誤的。
萬卿認為,IDC的報告是準確的,IDS和IPS分屬兩種不同產品領域,前者是壹種檢測技術,而後者是壹種阻斷技術,只不過後者阻斷攻擊的依據是檢測,因此要用到很多的檢測技術,很多用戶就此搞混了。
從理論上看,IDS和IPS是分屬兩個不同的層次,這與用戶的風險防範模型有關,用戶首先要查找到風險,才能預防和阻斷風險。而IDS是查找和評估風險的設備,IPS是阻斷風險的設備。防火墻只能做網絡層的風險阻斷,不能做到應用層的風險阻斷。過去,人們曾經利用防火墻與IDS聯動的方式實現應用層的風險阻斷,但由於是聯動,阻斷時間上會出現滯後,往往攻擊已經發生了才出現阻斷,這種阻斷已經失去了意義,IPS就此產生。
用壹句話概括,IDS是幫助用戶自我評估、自我認知的設備,而IPS或防火墻是改善控制環境的設備。IPS註重的是入侵風險的控制,而IDS註重的是入侵風險的管理。也許有壹天,通過IDS,我們能確定到底在什麽地方放IPS?到底在什麽地方放防火墻?這些設備應該配備哪些策略?並可以通過IDS檢測部署IPS/防火墻的效果如何。
IDS與IPS各自的應用價值與部署目標
導讀:從2003年 Gartner公司副總裁Richard Stiennon發表的《入侵檢測已壽終正寢,入侵防禦將萬古長青》報告引發的安全業界震動至今,關於入侵檢測系統與入侵防禦系統之間關系的討論已經趨於平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,給這個討論畫上了壹個句號。可以說,目前無論是從業於信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防禦系統是兩類產品,並不存在入侵防禦系統要替代入侵檢測系統的可能。但由於入侵防禦產品的出現,給用戶帶來新的困惑:到底什麽情況下該選擇入侵檢測產品,什麽時候該選擇入侵防禦產品呢?筆者曾見過用戶進行產品選擇的時候在產品類型上寫著“入侵檢測系統或者入侵防禦系統”。這說明用戶還不能確定到底使用哪種產品,顯然是因為對兩類產品的區分不夠清晰所致,其實從產品價值以及應用角度來分析就可以比較清晰的區分和選擇兩類產品。
從2003年 Gartner公司副總裁Richard Stiennon發表的《入侵檢測已壽終正寢,入侵防禦將萬古長青》報告引發的安全業界震動至今,關於入侵檢測系統與入侵防禦系統之間關系的討論已經趨於平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,給這個討論畫上了壹個句號。可以說,目前無論是從業於信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防禦系統是兩類產品,並不存在入侵防禦系統要替代入侵檢測系統的可能。但由於入侵防禦產品的出現,給用戶帶來新的困惑:到底什麽情況下該選擇入侵檢測產品,什麽時候該選擇入侵防禦產品呢?筆者曾見過用戶進行產品選擇的時候在產品類型上寫著“入侵檢測系統或者入侵防禦系統”。這說明用戶還不能確定到底使用哪種產品,顯然是因為對兩類產品的區分不夠清晰所致,其實從產品價值以及應用角度來分析就可以比較清晰的區分和選擇兩類產品。
從產品價值角度講:入侵檢測系統註重的是網絡安全狀況的監管。用戶進行網絡安全建設之前,通常要考慮信息系統面臨哪些威脅;這些威脅的來源以及進入信息系統的途徑;信息系統對這些威脅的抵禦能力如何等方面的信息。在信息系統安全建設中以及實施後也要不斷的觀察信息系統中的安全狀況,了解網絡威脅發展趨勢。只有這樣才能有的放矢的進行信息系統的安全建設,才能根據安全狀況及時調整安全策略,減少信息系統被破壞的可能。
入侵防禦系統關註的是對入侵行為的控制。當用戶明確信息系統安全建設方案和策略之後,可以在入侵防禦系統中實施邊界防護安全策略。與防火墻類產品可以實施的安全策略不同,入侵防禦系統可以實施深層防禦安全策略,即可以在應用層檢測出攻擊並予以阻斷,這是防火墻所做不到的,當然也是入侵檢測產品所做不到的。
從產品應用角度來講:為了達到可以全面檢測網絡安全狀況的目的,入侵檢測系統需要部署在網絡內部的中心點,需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署壹個入侵檢測分析引擎,並統壹進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。
而為了實現對外部攻擊的防禦,入侵防禦系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防禦系統,入侵防禦系統即可實時分析網絡數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網絡邊界進入網絡。
IDS是依照壹定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。IPS 能夠識別事件的侵入、關聯、沖擊、方向和適當的分析,然後將合適的信息和命令傳送給防火墻、交換機和其它的網絡設備以減輕該事件的風險。