网络安全 频道

IDS和IPS,看似重叠,实际不同

安全功能满足安全需求,不是文字游戏
    提供IPS(IDP)的厂商常常声称其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测。
   “某某IPS可以精确检测各种攻击行为。某某IPS部署在…深度检查每一个进出的数据包。当检测出恶意流量时,该设备就会丢弃相应连接,使之不能进入网络。”
    上面是典型的宣传IPS的说法。但是,应当说这是对于客户的误导。因为,紧紧将两个词汇拼合在一起,是不能真正解决问题的。


    防火墙和IDS是两种截然不同的技术行为:
    ●防火墙是网关形式,要求高性能和高可靠性。因此防火墙会非常看重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。
    ●而IDS是一个检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对于性能的追求主要是在抓包不能漏,分析不能错,而不是微秒级的快速结果。IDS由于其技术特征,所以其计算复杂度是非常高的。
    IPS是试图将防火墙和IDS两个技术之间存在的天然矛盾糅合在一起。但是在技术本质上存在的矛盾是客观的:
    ●对于串接在网络中的IPS来说,分析得越清晰准确,计算复杂度越高,传输延迟就会大大增加。怎么能够让IPS去检测优秀IDS的超过2000多种攻击方法,而还能保持高的传输性能?
    ●IDS的检测准确度是永远不能达到100%;而防火墙的动作是一个绝对的通断操作。用一个并不完全准确地检测结果,指导一个绝对的阻断操作,是不是风险太大了?


    所以,把IPS看作是防火墙和IDS的组合其实是玩一种文字游戏,希望利用广大用户已建立起来的对IDS和防火墙产品的充分认可,企图达到把IPS 的作用上升到1+1>2的效果。但是很遗憾,实际上并不是这样,我们必须从技术本质上寻找解决办法。

检测和访问控制(防御)的协同是必然趋势
    前面谈到检测技术和访问控制技术的矛盾,但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。那么,二者到底应当怎么融合?IPS是不是一个好的融合方向?
    从屈延文老先生提出的“软件行为学”看,屈先生提出“监测要集中,控制要分布”。这个观点对于如何看待检测类技术的走向是非常重要的。
    一个准确度不能完全令人满意的IDS,经过人工的分析可以变得准确;同样,经过大规模的IDS部署后的集中分析,以及和其他检测类技术的关联分析,可以获得更加精确的结果。这样局部的事件(Event)检测,就像全局性的事件(incident)检测发展。根据全局性的检测结果就可以进行全局性的响应和控制。这是从宏观看检测和访问控制的融合方向。
    全局性的检测可以有效解决检测的准确率问题,但是同时带来的就是检测过程变长,局部速度不够快的问题。所以,面对一些局部的事件问题,可以相当准确地判断出的问题,阻断后带来的负面效应相对较少的时候,针对其检测可以比较快速的时候,IPS就是一个比较好的方案了。


    因此,就目前的检测技术、传输技术、芯片技术等多方面分析,目前IPS能够解决的主要是准确的单包检测和高速传输的融合问题,对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效的检测和及时的阻断防护,而对于更为复杂的攻击(如采用变形攻击、攻击包拆分发送)就无法实现。


    当然,检测和访问控制如何协同和融合将一直是我们研究的课题,会有更多好的技术形态出现,不管叫什么名字。
    IDS和IPS(IDP)满足的是用户不同的安全需求。两种技术在相当长的时间里,会和防火墙技术一起共存,并在用户的信息安全保障体系中担当不同的角色,并协同工作。

0
相关文章