随着互联网安全的意识逐渐深入人心,传统的防火墙技术在对于网络入侵的已经具有很大的局限性。随着技术的飞速发展,人们已经不仅满足于防火墙的保护,其后IDS的出现可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。但是,人们也逐渐意识到IDS所面临的问题。IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。于是诞生了IPS技术,我们称之为入侵防御系统填补了这一项空白。
IPS技术的出现可谓是企业网络安全的革命性创新。然而创新意味着对困难的克服,IPS技术必须克服三大障碍。
旁路变串接的障碍
改进IDS旁路工作方式,使得IPS不仅能旁路工作,还能串接在网络中工作,对攻击的防御由被动防御变成主动防御。
串接在网络上后,IPS技术的一些痼疾就展现出来了。
第一个是漏报误报率问题。IDS因为检测手法比较单纯,漏报误报一直是IDS产品的弱点,人们甚至因此对IDS的实用性产生了怀疑。IDS因为是被动防御,产生误报后只要没有联动措施,都不会影响网络的正常工作。而IPS技术是串接在网络中的主动防御,产生误报后将直接影响网络的正常工作。这样安全产品就变成网络的故障点了。
举例来说,机场在安检处检查旅客时,不能仅凭旅客是否鬼鬼祟祟,冒似恐怖分子就把他抓起来,如果抓错人会直接影响机场的正常工作秩序,必须有搜身,验指纹等新的技术,保证抓获的是真正的恐怖分子。
第二个是性能问题。IDS因为是旁路工作,对实时性要求不高,而IPS技术串接在网络上,要求必须像网络设备一样对数据包做快速转发。因此,IPS技术需要在不影响检测效率的基础上做到高性能的转发。
举例来说,安检是要对每个旅客检查的项目多了,但不能因此耽误飞机的起飞时间。这就对检查时间提出了高要求,必须能快速检查完更多的项目。
功能延伸的障碍
IPS技术必须大大扩展安全功能,在网络蠕虫的预防、BT下载的限制、垃圾邮件的防范等方面做更多的工作。这些工作对传统的IDS技术来说力不从心,就像以前的机场安“911”的劫机犯混过安检一样,现在的机场安检必须能检查出来这种恐怖分子。
扩大规则库的障碍
随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。
这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS技术要求。
【编辑推荐】
