十年回望之入侵检测与防御

安全
2010年3月31日,绿盟科技对外宣布,其入侵防御系统(NSFOCUS IPS)顺利通过国际权威机构NSS Labs的严格测试,荣获NSS Labs Approved认证,并且被NSS Labs认定为最高级别“Recommended”产品,在此之前仅有三家顶尖国际安全厂商的IPS得到过NSS Labs的鼎力推荐。历经十年磨砺,NSFOCUS IPS实现跨越,进入国际顶尖的产品行列。

【51CTO.com 综合消息】2010年3月31日,绿盟科技对外宣布,其入侵防御系统(NSFOCUS IPS)顺利通过国际权威机构NSS Labs的严格测试,荣获NSS Labs Approved认证,并且被NSS Labs认定为最高级别“Recommended”产品,在此之前仅有三家顶尖国际安全厂商的IPS得到过NSS Labs的鼎力推荐。历经十年磨砺,NSFOCUS IPS实现跨越,进入国际顶尖的产品行列。

十年前,诸多安全公司选择了IDS产品作为进入国内安全市场的第一款安全产品;十年后,大浪淘沙,业内知名的IDS产品并不多了,这十年发生了什么?未来十年又会怎样……

过去的十年

冰冻三尺非一日之寒,不论哪个产品,如何在十年的竞争中获得优势,一定与其在这个领域的执着和专注是密不可分的。

市场萌芽, IDS产品成为安全市场的敲门砖

2000年至2004年期间,各种蠕虫病毒大肆爆发,红色代码、尼姆达、冲击波,震荡波此起彼伏,它们的各种变种程序更是层出不穷,在互联网上任意肆虐。面对上述基于正常端口工作的蠕虫病毒,传统的防火墙(Firewall)显得束手无策,而入侵检测系统(IDS)则能够利用这些蠕虫病毒的攻击特征,进行检测和预警,这使得IDS一时名声大噪,各大安全厂商争先恐后涌入IDS市场。

就在国内IDS市场刚刚萌动的同时,国际安全厂商在海外酝酿一场新的技术变革。2000年9月18日,Network ICE第一次将pass by的IDS技术用于pass through模式,在线部署的BlackICE Guard产品,通过分析网络流量,直接丢弃恶意数据包,这也是入侵防御系统(IPS)的最早雏形。为了抑制当时较为泛滥的拒绝服务攻击(D.o.S),早期的IPS产品都带有一定抗拒绝服务攻击能力,部分网络厂商、负载均衡厂商借此机会跻身IPS市场,从而使得早期的IPS市场较为混乱。

绿盟科技是国内最早进入IDS市场的安全厂商之一,凭借对入侵检测市场的深刻理解,以及多年来在安全领域的深耕精作,绿盟入侵检测系统(NSFOCUS IDS)自2001年上市以来,就一直代表着业界IDS的最高水平,持续多年直至今日,该产品仍牢牢占据着国内IDS市场的领导者地位。

2004年,NSFOCUS IDS做出重大技术变革,在绿盟科技特别定制的安全操作系统之上,NSFOCUS IDS的引擎架构经过重新设计,检测技术由单包模式匹配,全面进化到完全的状态检测与深入的协议解码。同时,系统的稳定性和处理性能得到极大提升。由此形成的系统主体框架一直沿用到现在,这也成为了今后NSFOCUS IPS所采用的基本系统架构。  

图1 早期的NSFOCUS IDS产品图片

“IDS已死?”,IPS粉墨登场!

随着互联网的普及,公司之间的联系比以往更加密切,更多企业的生产系统,以及运营体系逐渐向互联网迁徙,在发展或提高生产力的同时,安全成为企业尤为关注的重要环节。防火墙和IDS在面对趋于复杂的混合性安全威胁时略显苍白,企业迫切需要一种能够积极、主动应对不断变化的安全威胁,有效控制各类网络安全风险的产品,IPS再次引起人们的关注。

IPS将入侵检测技术应用到串联网络之中,旨在第一时间对所有出入企业网络的流量进行深度分析和检测,实时阻断攻击。基于其高效的处理性能和精准的检测效率,IPS重新诠释了网络安全的定义,并从根本上改变了人们保护网络架构和应用系统的方式。

区别于防火墙和IDS,IPS具有更精准的检测率和更有效的执行力,能够实现对整个报文流直至应用层的全面检测和保护。系统融合多重检测机制,通过应用状态防火墙、智能协议分析、异常检测、状态签名、关联分析,以及行为建模等多种方法,以确保能准确识别入侵,并在损失发生之前精确拦截攻击,从而持续净化互联网和内网的流量。  

图2 入侵防御系统和传统安全产品的区别

因为IPS能够完全取代IDS,并提供IDS所不具备的关键功能,使得IPS产品逐渐成为国内IT安全市场上一个新的热点。然而,早期的国内IPS市场充斥着传统国际IPS厂商的身影,多数国内安全厂商却仍在为IDS和IPS孰是孰非,为Gartner的“IDS is dead”论调争论不休。直至2005年9月,绿盟科技正式推出了国内第一款IPS产品 —— 绿盟入侵防御系统(NSFOCUS IPS),终于打破国际IPS厂商一统天下的局面。

大浪淘沙,IPS领军人物出现

自2007年起,市场上涌现出越来越多的IPS产品,国内IPS市场也得到了充足的发展。据国际权威调研机构IDC统计分析,IPS市场是国内IT安全市场中,近几年来增长速度最快的子市场之一。与此同时,因为部分用户市场完全覆盖,国内IDS市场规模受到IPS冲击,增长速度逐渐减缓,甚至成为2009年唯一开始负增长的安全子市场。

一边是高歌猛进的IPS市场,一边是逐渐没落的IDS市场,绿盟科技均一直保持平稳增长和绝对的市场统治力。

其实在这个市场中,也会重复着IDS市场的过去,市场兴起的时候诸多厂家争相进入,产品鱼龙混杂,而到了后期,只有专注和坚持的厂家才能活下来,成为真正的领军人物。

图3 绿盟入侵检测/防御系统(NSFOCUS IDS/NSFOCUS IPS)发展历程

◆2006年至2009年,NSFOCUS IPS连续4年进入IDC定义的国内IPS领导者行列; 

◆2009年7月,绿盟科技荣获Frost&Sullivan颁发的“2009年中国IDS/IPS市场增长战略领导者”奖(2009 China Frost & Sullivan Growth Strategy Leadership Award in the IDS/IPS Network Security Market),由此率先完成历史性突破,成为国内首家获此殊荣的安全厂商; 

◆2010年3月,NSFOCUS IPS荣获NSS Labs Approved认证,并被认定为最高级别Recommended产品,成为国内安全厂商中唯一获得该权威机构认证的产品…#p#

下一个十年

目前,安全威胁形势已经改变,全球性的安全疫情很难复现,区域性和定向攻击,在数量与精密度上势必持续升高;强制性感染已经成为常态,用户只要浏览到恶意网站就可能被感染;僵尸网络将永远存在;未来可能还会出现针对虚拟化与云计算环境的攻击方式;当互联网上的所有信息,包括企业网络和社区网络(Facebook、Twitter等)都承载着对我们有用的信息时,当利益已成为一切罪恶的诱因,网络犯罪不可能消失,未来十年将是信息安全的黄金十年。

作为国内IT安全市场中增长速度最快的一个子市场,IPS市场的未来十年生机无限。笔者认为,不断革新的产品技术,以及随需而变的产品策略,将推动IPS进入下一个黄金十年,IPS必然在产品形态、产品架构,以及应用模式等方面发生重大变革。

趋于融合的下一代安全网关

传统的安全网关在应对不断变化的混合型安全威胁,处理丰富的互联网应用时,已经显得力不从心,基于Botnet传播的安全威胁,新的Web 2.0应用,利用隧道技术的业务程序,都能够轻易绕开防火墙的封锁。

笔者认为,未来将出现趋于融合的下一代安全网关——NGSG(Next Generation Security Gateway),面向安全威胁新趋势,专注于应用层防护的高性能安全网关,NGSG具有一系列特点,以适应未来3~5年的安全威胁防护趋势: 

◆标准的防火墙特性:具备包过滤、网络地址转换(NAT)、状态协议检查和VPN等基本功能; 

◆拥有较强的应用识别能力,不局限于端口和协议的识别,对于某些限制应用,如SSL加密会话,也能准确识别; 

◆深度融合入侵防御(intrusion prevention)、内容控制(content control)和URL过滤(URL filtering)等多种功能; 

◆基于用户身份(users by name)的会话识别和监控,而不仅仅通过IP地址进行判断; 

◆具备10Gbps以上的在线处理能力,不会影响业务系统的正常应用。

在上述特性之中,应用安全防护是NGSG需要重点解决的问题。针对WEB、DNS、电子邮件、电子商务、VoIP和视频会议等各类应用的攻击监控,将成为未来应用安全防护的重点。

IPS、UTM,亦或是防火墙,都将只是NGSG发展史上的阶段性里程碑,尽管它们在限定的细分市场内,仍将保持一定规模的增长,但最终必将殊途同归,在不久的将来成为融为一体的下一代安全网关。

基于SaaS的安全威胁管理服务

“安全问题的威胁日渐变得复杂,并且其规模和数量使得中小企业无法很好的应对。”RSA总裁亚瑟•科维洛认为云安全是2010年的关键趋势,“旧的管理安全服供应商只是为用户提供防火墙管理和虚拟专用网。这使我看到了新的外包服务即将诞生:人们需要更多的安全管制,但他们又无法很好的进行全面的管理。在这一基础上,形成了安全云外包服务,或者称为多重安全应用外包服务。”

新的安全威胁总是孕育着新的市场机会。无论是国内中小型企业用户,还是全球范围内的企业级用户,在选择安全解决方案的时候,不仅要考虑方案的完整性和有效性,还要兼顾方案的总体拥有成本,他们需要的不再是单一的安全产品,而是更具成本效益、更方便透明的一体化安全服务。

新的Security as a service(SaaS)模式应运而生,基于互联网为全球范围内的用户交付定制化的安全服务,这将打破传统的安全防护方法,用户依托这个平台,可以选择个性化的安全服务,例如基于IPS的安全威胁管理。从产品管理、运维,直至警报分析和解决方案建议,SaaS平台将提供一站式安全贴心服务。

在不久的将来,这个平台还将为全球范围内的企业级用户,提供全面的“安全威胁管理”能力,以及“安全趋势分析”服务,而IPS/IDS则将成为依附于这个平台,同时不可或缺的重要组件。遍布于全球的IPS/IDS引擎首先将新出现的安全威胁发布到云安全平台,然后基于安全威胁分析引擎处理,形成新的解药,再快速部署到各个节点的IPS/IDS产品之中。同时,云安全平台还将依据实时的威胁信息,持续协助用户不断改进安全策略。

随着IPS技术的日益完善、用户对IPS产品认知的逐步深入,国内IPS市场日渐成熟,未来这个市场都将是安全厂商重点发力的领域。随需而变的产品策略,使得IPS不断焕发新的青春,无论是作为独立的IPS产品,融合多种安全解决方案的IPS管理平台,还是为用户提供SaaS服务的IPS族群,未来的路都还很长。

辉煌十年,不是终结,而是一个新的起点,作为绿盟科技全面拓展国际市场的一把利刃,NSFOCUS IPS进入国际顶尖产品行列之后,将面临更多的挑战。历经十年磨砺,当我们怀揣梦想,站在群山之巅的时候,我们已经准备好了…

附:绿盟入侵防御系统(NSFOCUS IPS)大事记

1. 2010年3月,绿盟科技的入侵防御产品(NSFOCUS IPS)荣获NSS Approved Award 认证,并获得NSS Labs最高级别Recommended评价;绿盟科技成为首家在主流网络安全产品市场上,获得国际权威机构认可的中国本土安全厂商。

2. 2009年9月,绿盟科技的入侵防御产品(NSFOCUS IPS)产品获得由中国信息安全测评中心颁发的“国家信息安全测评信息技术产品安全测评证书(EAL3级)”,绿盟科技成为国内首家,也是目前唯一一家获得入侵防护类产品EAL3级证书的厂商。

3. 2009年7月,绿盟科技荣获国际权威机构Frost&Sullivan颁发的“2009年中国IDS/IPS市场增长战略领导者”奖(2009 China Frost & Sullivan Growth Strategy Leadership Award in the IDS/IPS Network Security Market),率先完成历史性突破,成为国内首家获此殊荣的安全厂商。

4. 2009年3月,绿盟科技的入侵防御产品(NSFOCUS IPS)跃居IDC定义的2008年中国入侵防御硬件市场排名次席。

5. 2008年3月,绿盟科技的入侵防御产品(NSFOCUS IPS)继续占据IDC定义的2007年中国入侵防御硬件市场领导者地位。

6. 2007年3月,绿盟科技的入侵防御产品(NSFOCUS IPS)作为唯一的国内IPS品牌,入选IDC定义的2006年中国入侵防御硬件市场领导者名录。

7. 2005年9月,绿盟科技发布国内第一款入侵防护产品(NSFOCUS IPS)。

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2010-08-25 13:13:04

2009-06-03 09:35:21

.Net平台开源工程师职场

2011-11-21 09:57:47

2012-10-10 11:36:02

2011-10-28 16:03:06

2009-08-31 23:12:31

2010-02-01 11:03:36

唐骏跳槽

2009-12-15 10:57:05

2010-12-21 18:09:48

2012-06-19 09:50:16

2010-11-17 11:02:49

思科Juniper

2022-03-28 11:41:21

物联网物联网市场智能电网

2013-06-08 13:52:29

苹果WWDC2013

2019-07-22 10:22:39

2020-12-29 14:45:32

云计算AI科技

2019-12-13 16:08:57

戴尔

2012-08-09 09:52:50

LIDSLinux入侵检测

2019-06-12 09:19:19

2012-11-07 11:36:16

点赞
收藏

51CTO技术栈公众号