网络安全 频道

IPSvs.IDS,势不两立还是相辅相成?

2.2 IPS不可低估的优势

实时检测与主动防御是IPS最为核心的设计理念,也是其区别于防火墙和IDS的立足之本。为实现这一理念,IPS在如下四个方面实现了技术突破,形成了不可低估的优势:

在线安装(In-Line)。IPS保留IDS实时检测的技术与功能,但是却采用了防火墙式的在线安装,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中;

实时阻断(Real-time Interdiction)。IPS具有强有力的实时阻断功能,能够预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失;

先进的检测技术(Advanced Detection Technology)。主要是并行处理检测和协议重组分析。所谓并行处理检测是指所有流经IPS的数据包,都采用并行处理方式进行过滤器匹配,实现在一个时钟周期内,遍历所有数据包过滤器;而协议重组分析是指所有流经IPS的数据包,必须首先经过硬件级预处理,完成数据包的重组,确定其具体应用协议。然后,根据不同应用协议的特征与攻击方式,IPS对于重组后的包进行筛选,将可疑者送入专门的特征库进行比对,从而提高检测的质量和效率;

特殊规则植入功能(Build-in Special Rule)。IPS允许植入特殊规则以阻止恶意代码。IPS能够辅助实施可接收应用策略(AUP),如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等;

自学习与自适应能力(Self-study & Self-adaptation Ability)。为了应对黑客们处心积虑、花样翻新的攻击手段,IPS必须具有人工智能的自学习与自适应能力。能够根据所在网络的通信环境和被入侵状况,分析和抽取新的攻击特征以更新特征库,自动总结经验,定制新的安全防御策略。

2.3 IPS不可忽视的弱点

有其利必有其弊。IPS的主动防御优势也决定了它的下列弱点:

总体拥有成本(TOC)高。浩大的高可用性(HA)实时计算需求决定了IPS必须选用高端的专用计算设备,但是可观的总体拥有成本却使不少用户望而却步;

单点故障(Single-point Fault)。IPS的阻断能力决定其必须采用网络嵌入模式,而这就可能造成单点故障;

性能瓶颈(Performance Bottle-neck)。即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,因此,绝大多数高端IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器或者ASIC芯片)来提高IPS的运行效率,以减少其对于业务网络的负面影响;

误报(False positive)与漏报(False negatives)后果同样严重。在网络流量几乎成几何级数增加的情况下,一旦生成警报,最基本的要求就是不让“误报”有可乘之机,导致合法流量也很有可能被意外拦截。如果触发了误报警报的流量恰好是来自上级、合作伙伴和客户的重要信息,IPS不仅实施了一次性错误阻断,而且会切断与他们的信息通道,其结果不言而喻。

 

0
相关文章