众所周知,IPS技术相对于IDS技术来说是一个完善与提高,但是作为一个相对领先的技术,其中又有旁路变串接的障碍、功能延伸的障碍和扩大规则库的障碍这三块绊脚石,那么究竟如何才能克服IPS技术发展中的诸多障碍呢?
总体来说,IPS技术一般采用ASIC、FPGA或NP(网络处理器)等硬件设计技术实现网络数据流的捕获,检测引擎综合特征检测、异常检测、DoS检测、缓冲区溢出检测等多种手段,并使用硬件加速技术进行深层数据包分析处理,能高效、准确地检测和防御已知、未知的攻击及DoS攻击。
同时,实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等,突破了传统IDS只能检测不能防御入侵的局限性,提供了一个完整的入侵防护解决方案。
具体来说,IPS技术用应用层代理引擎技术解决漏报误报率问题,用引擎硬件化技术解决性能问题。
应用层代理引擎降低误报漏报率
和IDS相比,IPS技术应具有高性能、低漏报误报率、防范种类多等特点。要取得这些技术突破,现有IDS的技术积累显然是不够的。反病毒引擎在准确报警方面是IDS引擎学习的目标。
从产业发展的角度看,反病毒技术比IDS技术成熟,在反病毒引擎技术中已经运用多项的技术,例如虚拟机技术等。这些技术的使用,保证了反病毒产品的低漏报误报率。实际上,反病毒产品检测的准确性已经可量化,而IDS技术的准确性还没有一个公认的衡量标准。
反病毒产品对规则库的跟踪和维护有着更高的要求,反病毒产品的规则库在十万条左右,数量上超过IDS几十倍,并且对规则库更新的要求更高。IDS对规则库的更新周期以周为单位,反病毒产品对规则库的更新周期以天为单位。
引擎硬件化提升性能
如果没有性能问题的瓶颈,IPS技术不会姗姗来迟。在传统防火墙领域,厂商们其实也做了不少工作,把IDS、应用层安全技术等都集成进去了,但是只能作为功能宣传,不敢大张旗鼓推广,到用户那往往要把这些功能关闭。这都是让性能闹的。
现在IPS技术的厂商,还是那些功能,只是解决了性能问题,敢给用户用这些功能了,就把产品作为IPS技术开卖。别小看这一点改进,可是核心竞争力,解决性能问题的各个厂商方法不同,思路都一样,就是把最消耗资源的部分用硬件实现,把最具有灵活性的部分用软件实现,达到提高性能的目的。
部署很简单
串接式部署是IPS技术和IDS区别的主要特征。IPS技术的部署方式和IDS有所不同。
IDS产品在网络中是旁路式工作,IPS技术在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备,IPS技术检测数据流中的恶意代码,核对策略,在未转发到服务器之前,将信息包或数据流阻截。由于是在线操作,因而能保证处理方法适当而且可预知。
与此相比,通常的IDS响应机制(如TCP重置)则大不相同。传统的IDS能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理。必须在数据流中嵌入TCP包,以重置目标服务器中的会话。然而,整个攻击信息包有可能先于TCP重置信息包到达服务器,这时系统才做出响应已经来不及了。
重置防火墙规则也存在相同问题,处于被动工作状态的IDS能检测到恶意代码,并向防火墙发出请求阻截会话,但请求有可能到达太迟而无法防止攻击发生。
IPS技术是网关型设备,要发挥其最大的作用,最好串接在网络的出口处,比较简单的部署方案是串接在网关出口的防火墙和路由器之间,监控和保护网络。当然,在用户购买产品时,专业的安全工程师会根据用户的网络拓扑和需求做详细设计的。
【编辑推荐】
- IPS电力行业网络边界的典型应用
- 联想网御4500IPS地税系统应用案例
- Radware发新版IPS 可化解高密度的DDoS攻击
- Cisco IPS平台存在拒绝服务漏洞
- 专家谈:利用并行处理技术提升IPS产品性能
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/152515.html<
