入侵检测(IDS)虽已经在市场上存在多年,但是,越来越多的用户发现,它不能满足新网络环境下对安全的需求。
IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。
因此,人们迫切地需要找到一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。
作为一种新的安全理念,IPS技术的出现给业界掀起了不小的波澜,IDS与IPS(入侵防护系统)之争闹得沸沸扬扬,厂商与用户对IPS技术说法不一,各执己见。
4月8日,作为IPS技术的倡导者,美国网络联盟(NAI)公司举办了“主动出击—构建企业核心安全战略”主题研讨会,向业界阐述并推出IPS技术理念。NAI中国区总经理江永清表示,IPS是一种比较新的技术,究竟是什么样的概念,在业界还是众说纷纭,NAI这次研讨会的目的是希望把IPS的真实概念和已有的IPS产品说清楚,介绍给越来越多的用户和合作伙伴群体中去,让用户真正了解IPS技术。
安全需要深层次防御
目前,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如蠕虫、DDoS攻击、垃圾邮件等,极大地困扰着用户,给企业的网络造成严重的破坏。
那么,企业还有什么选择呢?入侵防护系统是企业下一代安全系统。它不仅可进行检测,还能在攻击造成损坏前阻断它们,从而将入侵检测系统提升到一个新水平。IPS和IDS的明显区别在于:入侵防护系统阻断了红色代码、尼姆达和SQL Slammer,而采用入侵检测系统,用户在每一次攻击后都需花费数百万美元进行病毒清除工作。 正因为如此,企业需要的安全战略已经不仅仅局限于防火墙等单一的防护产品,而是一种深层次的防护战略。
江永清表示,NAI推出的IPS技术包括主机防护战略和网络防护战略两大部分,其中McAfee Entercept是基于主机的入侵防护解决方案,采用行为规则技术和签名结合的办法,为企业提供了有效地防护像红色代码、尼姆达等蠕虫这样的攻击;McAfee IntruShield网络入侵防护解决方案,集成了特征库检测、异常行为检测、行为关联及拒绝服务分析等技术,能够智能地检测出已知的攻击、首次发生的攻击和DDOS攻击等,从深层次上有效地保护企业的网络安全。
IPS将取代IDS
目前,对于IPS与IDS之争,有人说,IPS在技术上并没有什么新的突破,只是一种概念上的炒作,江永清并不同意这样的看法。他认为,随着技术的发展和不断完善,IPS必将取代IDS,NAI在IPS技术上已经取得了多项国际专利,IDS在网络中只是实时检测网络的攻击行为,而IPS包含了IDS技术,在IDS检测的基础上增加了主动响应阻断的防御功能,一旦检测到攻击行为,可以主动切断入侵攻击。当然,不可否认,IDS已经是一个比较成熟的产品。江永清认为,IPS取代IDS还需要一段时间,用户接受IPS也需要有一个转变的过程,现在这种转变也正在进行当中。
目前,面对混合型的攻击,用户需要一种主动积极的防御战略,IPS是一个有很大潜在市场的新业务,因此,NAI在技术上花了很大的投入,希望能起到一个带动的作用。现在全球已经有180多家用户在使用IPS产品,中国的一些用户在测试试用后也都对IPS很感兴趣。江永清相信,IPS这个市场的需求会很大,对用户是非常有用的。对于已经使用IDS产品的用户想要迁移到IPS,只需要购买许可证即可,对用户的投入成本也得到保证。
据悉,目前已经有一个金融公司在原有IDS的基础上,购买了很少的IPS许可证就顺利部署了IPS入侵防护体系。
另外,江永清也强调,IPS是一个技术性很强的产品,对用户的技术水平要求也很高,只有对IPS使用得当,效果才会明显,否则适得其反,反而会不如IDS了,所以,对用户的教育和培训是必不可少的。NAI将会加大在这方面的力度,这也是目前推广IPS技术所面临的巨大挑战。
何谓真正的IPS
目前市场上有许多种产品都被冠以“防护”的字眼。但是,真正的入侵防护解决方案应使企业不必进行分析即可采取措施保护系统;同时,它应可防止攻击造成对用户的操作系统、应用程序和数据损坏。NAI认为,一个理想的入侵防护解决方案应该包括以下特点:
首先,真正的解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击,并防止它进入重要的服务器资源。
其次,检测入侵最有效的方法是采取混合方式,即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知的攻击保护,而同时将误报率保持在最低,从而无须做出任何损失性让步。
另外,一个强大的安全都是基于深度防御的概念,可进行深层防护。IntruShield独特的体系结构集成了多项专利技术,包括特征检测,异常检测和拒绝服务分析技术,从而能在几千兆的网络流量下进行准确和智能的检测和防护。这种对创造性技术空前的驾驭能力能保护那些具有最严格要求的网络,使其免遭已知攻击、首次发生的未知攻击以及DoS攻击的影响。
同时,企业所要选择的解决方案是否采用了业界先进的新技术,是否经过充分测试和使用,并受到持续不断的维护,这一点很重要。
安全与性能两不误
IDS一般是并联在网络中,以旁路监听的方式实时检测网络可疑流量,在性能上没有太大的影响,而IPS不像IDS,它在部署时主要是串联在网络中,所有进入内部的网络流量都要经过IPS,如果发现攻击行为,立即响应阻断攻击,这样,必定会影响网络的性能,NAI也考虑到这方面的情况。
江永清强调说,NAI的IPS性能非常好,在IPS产品中集成了20多个芯片、60G的缓存,极大保证了网络的性能,这也是IPS的主要卖点之一。
所谓“真金不怕火炼”,尽管人们对IPS的说法不一,但它的理念没错,并且,它确确实实已经存在了,很多厂商也都在相继推IPS产品,只要在实际使用中确实对用户的网络安全有作用有效果,用户可以不妨一试。