IDS与IPS技术大比拼.doc

IDS与IPS技术大比拼 自IPS诞生之初，有关于IDS和IPS的各种争论就没有停止过。笔者因长期从事信息安全领域的工作，所以对目前国内众多的IDS和IPS产品进行过深入的调查研究，本文将结合市场上的网络型IDS和IPS的异同谈一谈笔者对IDS、IPS技术发展的看法。 一、概念 首先，从概念上来看，IDS(Intrusion Detection System)即入侵检测系统，是一种监听入侵行为的产品，I P S(Intrusion Prevention System)即入侵防御系统，是既具有检测入侵行为的功能，又能够实时中止网络入侵行为的新型安全技术设备。两者面向的对象相同，都是入侵行为，不同的是IDS侧重于监测，而 IPS则是在监测的基础上强调了防护功能。 二、网络部署 从网络部署及使用情况看，网络型IDS和网络型IPS存在比较大的区别(如图1)。IDS一般采用直接架设到监测网络中的方式，不影响网络流量。IPS一般采用了类似防火墙式的在线安装方式，即直接嵌入到网络流量中，通过一个网络端口接收来自外部系统的流量，经过检查确认安全后，再通过另外一个端口将它传送到内部系统中。IDS并不直接影响网络的流量，只是利用交换机的监听功能(或者HUB的广播功能）旁听网络上的数据，即使IDS发生故障，网络的正常通信仍会继续，而且IDS不仅能够监听网络间的通信，也能监听被监测网内部的通信。而IPS由于直接架设在网络节点上，所以一旦IPS发生故障，网络的正常通信将会受到很大影响，而且IPS只能处理通过它的信息流。当然正因为IPS部署在网络的节点位置，使IPS能够对入侵行为具有更强的控制能力。 图1 IDS与IPS网络部署区别 三、数据分析技术 从采用的数据分析技术上看，个人认为网络型IDS和网络型IPS并没有本质上的不同。数据分析疗法也不外乎异常检测(基于行为的检测）和误用检测(基于知识的检测)两大类。IDS常用的统计学方法、状态转换分析、模式匹配等技术也都在 IPS中得到充分的利用。虽然各个厂家采用的 分析技术不尽相同，但是在数据分析方法上IPS和IDS并没有本质区别。目前，无论是IDS还是IPS厂家都在努力尝试提高数据分析技术水平，尝试将各种方法融入到数据分析技术中，以实现对数据的准确分析从而降低漏报和误报。IPS产品正是在IDS的数据分析能力达到一定水平后的产物．但从目前的技术水平看，虽然在数据的准确分析上取得了一定的成果．但并没有从根本上解决漏报和误报问题，而且，IPS对误报更为敏感。对于IDS产品而言一旦发生误报可能仅会增加一些无谓的报警，而对IPS产品来说，发生误报不仅是增加报警有可能意味着正常连接甚至正常的服务被中断，因而对于IPS来说解决误报率与漏报率的平衡更为重要。IDS和IPS产品在未来信息安全产品中的作用如何，数据分析技术水平将起到决定性作用。 四、事件响应技术 IDS通常具有的响应技术主要包括实时报警、日志记录、远程报警、实时阻断和防火墙联动等技术。其中实时阻断和防火墙联动技术属于主动响应技术，具有部分防护功能，但是由于实时阻断只能通过主动向当前异常网络会话的一方或双方发送TCP RST 数据包等方式（部分IDS还能够发送ICMP的错误信息数据包）实现阻断，这种方法对阻断TCP连接效果比较明显，但是对无连接的UDP包则显得力不从心。而防火墙联动虽然能够通过设置防火墙策略实现隔离入发者IP的功能，但是防火墙联动技术由于在实际使用过程中往往需要涉及到防火墙厂商．因此在实践中受到防火墙与入侵检测系统兼容、部分防火墙不支持联动，阻断对象(源、目的IP)控制不好等诸多因素的影响、使得这项技术一直没有得到很好的发展和应用。 IPS在响应技术方面，除了具有实时报警、日志记录、远程报警等全部IDS的被动响应技术外,IPS在主动响应方面有着明显的优势。IPS除了能向当前异常网络会话的一方或双方发送TCP RST数据包外，还可以直接采用对异常网络会话的数据包不进行转发的方法，有效地将无连接的UDP包异常流量隔离在外、而且IPS可以直接实现类似防火墙的功能，通过类似黑名单的功能，实时将入侵者IP记入拒绝转发的地址刊表中，实现隔离入侵者IP功能。 从采用的事件响应技术上看，网络型IPS的功能相对强大，而且部分优秀的IPS在阻断技术方面做得相当精致。IDS的实时阻断一般由系统决定是向一方还是双方发送阻断包，用户不能对其进行控制。而部分IPS更允许用户自行设置向源地址、目的地址或者双方发送阻断包。由于IPS的直接阻断入侵者IP功能有可能阻断网络的正常流量，所以部分IPS除了支持人工清除被阻断IP功能外，还支持阻断超时判断功能，可以在一段时间后自动清除入侵者IP。 五、其他功能 部分IPS除了具有入侵检测和响应功能外，还增加了其他防护功能。例如包过