IPS技术发展中的三块绊脚石

安全
文章简述了IPS,即入侵防御系统在发展过程中必须要克服的三大障碍。

随着互联网安全的意识逐渐深入人心,传统的防火墙技术在对于网络入侵的已经具有很大的局限性。随着技术的飞速发展,人们已经不仅满足于防火墙的保护,其后IDS的出现可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。但是,人们也逐渐意识到IDS所面临的问题。IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。于是诞生了IPS技术,我们称之为入侵防御系统填补了这一项空白。

IPS技术的出现可谓是企业网络安全的革命性创新。然而创新意味着对困难的克服,IPS技术必须克服三大障碍。

旁路变串接的障碍

改进IDS旁路工作方式,使得IPS不仅能旁路工作,还能串接在网络中工作,对攻击的防御由被动防御变成主动防御。

串接在网络上后,IPS技术的一些痼疾就展现出来了。

第一个是漏报误报率问题。IDS因为检测手法比较单纯,漏报误报一直是IDS产品的弱点,人们甚至因此对IDS的实用性产生了怀疑。IDS因为是被动防御,产生误报后只要没有联动措施,都不会影响网络的正常工作。而IPS技术是串接在网络中的主动防御,产生误报后将直接影响网络的正常工作。这样安全产品就变成网络的故障点了。

举例来说,机场在安检处检查旅客时,不能仅凭旅客是否鬼鬼祟祟,冒似恐怖分子就把他抓起来,如果抓错人会直接影响机场的正常工作秩序,必须有搜身,验指纹等新的技术,保证抓获的是真正的恐怖分子。

第二个是性能问题。IDS因为是旁路工作,对实时性要求不高,而IPS技术串接在网络上,要求必须像网络设备一样对数据包做快速转发。因此,IPS技术需要在不影响检测效率的基础上做到高性能的转发。

举例来说,安检是要对每个旅客检查的项目多了,但不能因此耽误飞机的起飞时间。这就对检查时间提出了高要求,必须能快速检查完更多的项目。

功能延伸的障碍

IPS技术必须大大扩展安全功能,在网络蠕虫的预防、BT下载的限制、垃圾邮件的防范等方面做更多的工作。这些工作对传统的IDS技术来说力不从心,就像以前的机场安“911”的劫机犯混过安检一样,现在的机场安检必须能检查出来这种恐怖分子。

扩大规则库的障碍

随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。

这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS技术要求。

【编辑推荐】

  1. WAF vs IPS 谁更适合防护Web应用?
  2. 利用IPS完美构建企业立体Web安全防护网
  3. 解决方案:UTM和IPS兼顾立体安全防护
  4. 从攻击规避检测技术看IPS的安全有效性
  5. 拯救网站运维经理赵明活动结束:IPS受宠明显 WAF仍需努力
责任编辑:张启峰 来源: IT168
相关推荐

2010-08-25 10:10:32

2018-05-25 09:00:00

2012-05-24 10:53:19

云应用安全云计算

2013-09-17 09:30:15

云项目实施云项目云计算技术

2009-07-07 18:08:03

刀片服务器刀片IDC

2022-05-05 15:13:59

数字化转型组织文化组织

2015-09-09 13:38:59

2015-04-14 10:34:02

微软AzurePaaS云应用

2017-09-04 19:08:05

上线直播技术浪live

2015-02-03 15:14:52

2009-03-03 12:48:01

2018-08-13 16:06:22

2020-02-18 23:02:58

疫情5G运营商

2016-02-15 10:30:24

大数据大数据实施实施战略

2017-01-04 12:35:03

虚拟运营商电信

2014-12-30 09:35:21

数据中心

2013-09-10 10:04:05

云计算大数据NoSQL

2017-10-17 11:39:40

微服务路由解决方案

2011-03-22 10:21:11

华为内耗
点赞
收藏

51CTO技术栈公众号