題庫的答案,加油!
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。從專業上講,就是按照壹定的安全策略對網絡和系統的運行進行監控,努力發現各種攻擊企圖、攻擊或攻擊結果,保證網絡系統資源的機密性、完整性和可用性。
我們打個形象的比喻:如果說防火墻是壹棟樓的門鎖,那麽IDS就是這棟樓裏的監控系統。壹旦有小偷爬窗進入大樓,或者有內部人員越界,只有實時監控系統才能發現情況並發出警告。
與防火墻不同,IDS是壹種監聽設備,它不橋接任何鏈路,並且可以在沒有網絡流量流經的情況下工作。因此,部署IDS的唯壹要求是IDS應該掛在所有相關流量必須流經的鏈路上。這裏的“關註流量”是指需要統計和監控的來自高風險網絡區域的訪問流量和網絡消息。在今天的網絡拓撲中,很難找到以前那種享受媒體沖突域的集線器式網絡,大部分網絡區域已經全面升級為交換式網絡結構。因此,IDS在交換網絡中的位置通常選擇在:
(1)盡可能靠近攻擊源。
(2)盡可能靠近受保護的資源。
這些位置通常是:
在服務器區域的交換機上
在互聯網接入路由器後的第壹臺交換機上
局域網交換機,側重於保護網段。
防火墻和IDS可以分開操作。IDS是壹個臨時控制系統。可以選擇合適的或者符合要求的。比如發現規則或者監控不完善,可以更改設置和規則或者重置!
IPS:入侵保護(預防)系統
簡介:入侵防護(預防)系統(IPS)是新壹代的入侵檢測系統(IDS),可以彌補IDS在主動性和誤報/漏報性質上的弱點。IPS可以識別事件的入侵、關聯、影響、方向和適當的分析,然後向防火墻、交換機和其他網絡設備發送適當的信息和命令,以降低事件的風險。
入侵保護(預防)系統(IPS)是新壹代的入侵檢測系統(IDS),可以彌補IDS在主動性和誤報/漏報性質上的弱點。IPS可以識別事件的入侵、關聯、影響、方向和適當的分析,然後向防火墻、交換機和其他網絡設備發送適當的信息和命令,以降低事件的風險。
IPS的關鍵技術組件包括合並的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟件和支持全球訪問並用於管理IPS的控制臺。就像IDS壹樣,IPS也需要減少誤報或漏報。它通常使用更先進的入侵檢測技術,如啟發式掃描、內容檢查、狀態和行為分析,還結合了常規的入侵檢測技術,如基於特征的檢測和異常檢測。
與入侵檢測系統(IDS)壹樣,IPS系統可以分為基於主機和基於網絡兩種類型。
基於主機的IPS
基於主機的IPS依賴於直接安裝在受保護系統中的代理。它與操作系統內核和服務緊密相連,監視和攔截系統對內核或API的調用,從而防止和記錄攻擊。它還可以監控特定應用程序的數據流和環境(如web服務器的文件位置和註冊項),以保護應用程序免受尚未簽名的常見攻擊。
基於網絡的IPS
基於網絡的入侵防禦系統集成了標準入侵檢測系統的功能,是入侵防禦系統和防火墻的混合體,可以稱為嵌入式入侵檢測系統或網關入侵檢測系統(GIDS)。基於網絡的IPS設備只能阻止惡意信息流通過該設備。為了提高IPS設備的效率,需要強制信息流通過設備。更具體地說,受保護的信息流必須代表發送到或來自聯網計算機系統的數據,其中:
在指定的網絡域中,需要高度的安全性和保護,和/或
這個網絡領域很有可能出現內爆。
配置地址可以有效地將網絡劃分為最小的保護區域,並提供最大的有效覆蓋。
IDS和IPS之爭存在誤區。
導讀:“IDS和IPS(IDP)誰更能滿足用戶需求”這個問題給人壹種選擇感。經過長時間的反復論證,以及產品開發和市場的反饋,冷靜的業內人士和客戶已經看到,這根本不是壹個可供選擇的問題。
對於“IDS和IPS(IDP)誰更能滿足用戶需求”這個問題,給人壹種選擇感。經過長時間的反復論證,以及產品開發和市場的反饋,冷靜的業內人士和客戶已經看到,這根本不是壹個可供選擇的問題。
顯然,用戶需要的不是單壹的產品,也不是眾多產品的簡單堆疊。目前流行的壹種說法是“信息安全保障體系(系統)”,即用戶的安全依賴於多種技術、產品、服務和管理的結合,形成壹個完整的體系來解決其面臨的安全威脅,從而保護信息資產和正常業務。
在安全框架中,不同的產品、服務和措施將在不同的地方發揮作用。比如PKI和生物認證機制的優勢可以在認證領域發揮很好的作用;入侵檢測在監控、監測和預警中起著重要的作用。防火墻和IPS在訪問控制領域可以發揮各自的優勢;數據加密和內容過濾主導了內容安全領域。其實討論如何讓各種安全技術有效協同工作,不如討論不同安全技術領域哪個更符合用戶需求。
IPS真的能取代防火墻和IDS嗎?提供IPS(IDP)的廠商往往宣稱自己的IPS可以將防火墻的網關防禦能力與入侵檢測的深度檢測相結合,企圖將IPS的作用提升到1+1 >:2的效果。但遺憾的是,事實並非如此。必須從技術本質上尋找解決方案。目前IPS主要可以解決準確的單包檢測和高速傳輸的融合問題。
當然,檢測和門禁如何配合和集成,永遠是業內研究的課題,會有更多更好的技術形式。不管叫什麽名字,適合用戶需求的才是最好的。
入侵檢測系統和入侵防禦系統有三個區別
導讀:三年前,當入侵防禦技術(IPS)出現時,咨詢公司Gartner曾預言IDS將很快消亡,被IPS取代,這在當時的媒體上引起了壹場討論。2006年,咨詢公司IDC斷言,IDS和IPS是兩種不同的技術,不能互相替代。時至今日,仍然有很多用戶不知道它們之間的區別。
中國人民銀行的張章是IDS的鐵桿用戶,對IDS非常熟悉,但即便如此,他也只是聽說過IPS,並沒有真正用過,也沒有見過。他的擔心是:既然IPS是網絡威脅的阻斷設備,那麽誤報和漏報影響了網絡的連通性怎麽辦?北京銀行的魏武忠也認為,如果在網絡入口處串聯IPS、防火墻/VPM、殺毒網關等壹系列安全設備,如何保證網絡的效率?添加新設備是否會帶來新的單點故障風險?
其實這些疑問壹直伴隨著IP的誕生和發展。於是,在很多用戶安全設備的購買清單中,壹直出現“IDS還是IPS”的選擇,證明用戶還是不明白兩種技術的區別。
金星公司產品管理中心主任萬青認為,是時候重新審視這兩項技術了。他認為,需要從三個維度認識到這兩種技術的區別。
從趨勢上看區別
2004年,Gartner的報告預測IDS將走向滅亡,但無論從用戶的需求還是廠商的產品銷量來看,IDS仍處於需求旺盛階段。比如國內最大的IDS廠商啟明星辰公司,今年上半年增長超過50%,公司最大的利潤來源仍然是IDS。事實證明,IDS必死的結論是錯誤的。
萬青認為IDC的報告是準確的。IDS和IPS屬於兩個不同的產品領域。前者是檢測技術,後者是阻斷技術,但後者是在檢測的基礎上阻斷攻擊,所以用了很多檢測技術,很多用戶很困惑。
理論上,IDS和IPS屬於兩個不同的層次,這與用戶的風險防範模式有關。用戶首先要發現風險,然後才能進行防範和阻斷。IDS是發現和評估風險的設備,IPS是阻斷風險的設備。防火墻只能阻擋網絡層的風險,不能阻擋應用層的風險。過去人們習慣用防火墻和IDS聯動來實現應用層的風險阻斷。但由於聯動,阻斷時間會有滯後,往往阻斷是在攻擊已經發生後才發生的。這種封殺已經失去了意義,IPS出現了。
總之,IDS是幫助用戶自我評估、自我認知的設備,IPS或防火墻是改善控制環境的設備。IPS側重於入侵風險的控制,IDS側重於入侵風險的管理。也許有壹天,通過IDS,我們可以確定IP放在哪裏。我到底應該把防火墻放在哪裏?這些設備應該配備什麽策略?並且可以通過IDS檢測部署IPS/防火墻的效果。
IDS和IPS各自的應用價值和部署目標。
導讀:自2003年Gartner副總裁Richard Stiennon發表《入侵檢測已死,入侵防禦永存》報告後,關於入侵檢測系統與入侵防禦系統關系的討論變得索然無味。2006年,IDC年度安全市場報告明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,為這壹討論畫上了句號。可以說,目前無論是信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防禦系統是兩種產品,不存在入侵防禦系統取代入侵檢測系統的可能性。但是由於入侵防禦產品的出現,給用戶帶來了新的困惑:在什麽情況下應該選擇入侵檢測產品,什麽時候應該選擇入侵防禦產品?我見過用戶在選擇產品時,在產品類型上寫著“入侵檢測系統或入侵防禦系統”。這說明用戶不確定用哪個產品,顯然是因為兩類產品的區分不夠清晰。事實上,從產品價值和應用的角度來看,我們可以清楚地區分和選擇這兩類產品。
自2003年Gartner公司副總裁Richard Stiennon發表《入侵檢測已死,入侵防禦永存》報告以來,關於入侵檢測系統與入侵防禦系統關系的討論變得索然無味。2006年,IDC年度安全市場報告明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,為這壹討論畫上了句號。可以說,目前無論是信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防禦系統是兩種產品,不存在入侵防禦系統取代入侵檢測系統的可能性。但是由於入侵防禦產品的出現,給用戶帶來了新的困惑:在什麽情況下應該選擇入侵檢測產品,什麽時候應該選擇入侵防禦產品?我見過用戶在選擇產品時,在產品類型上寫著“入侵檢測系統或入侵防禦系統”。這說明用戶不確定用哪個產品,顯然是因為兩類產品的區分不夠清晰。事實上,從產品價值和應用的角度來看,我們可以清楚地區分和選擇這兩類產品。
從產品價值的角度來看,入侵檢測系統側重於網絡安全的監管。在構建網絡安全之前,用戶通常要考慮信息系統面臨哪些威脅;這些威脅的來源以及進入信息系統的途徑;關於信息系統如何抵禦這些威脅的信息。在信息系統安全的建設和實施中,要不斷觀察信息系統中的安全狀況,了解網絡威脅的發展趨勢。只有這樣,信息系統的安全建設才能有的放矢,才能根據安全形勢及時調整安全策略,降低信息系統被破壞的可能性。
入侵防禦系統側重於對入侵行為的控制。當用戶明確了信息系統的安全建設方案和策略後,就可以在入侵防禦系統中實施邊界保護安全策略。與防火墻產品可以實施的安全策略不同,入侵防禦系統可以實施深度防禦安全策略,即可以在應用層檢測和攔截攻擊,這是防火墻做不到的,當然入侵檢測產品也做不到。
從產品應用的角度來看,為了達到全面檢測網絡安全的目的,入侵檢測系統需要部署在網絡內部的中心點,需要觀察所有的網絡數據。如果信息系統包含多個邏輯隔離的子網,則需要在整個信息系統中部署,即在每個子網中部署壹個入侵檢測與分析引擎,統壹引擎的策略管理和事件分析,達到控制整個信息系統安全態勢的目的。
為了防禦外部攻擊,需要在網絡邊界部署入侵防禦系統。這樣,所有來自外部的數據都必須串聯通過入侵防禦系統,入侵防禦系統可以實時分析網絡數據,發現攻擊行為立即阻斷,確保來自外部的攻擊數據無法通過網絡邊界進入網絡。
IDS是根據壹定的安全策略對網絡和系統的運行進行監控,努力發現各種攻擊企圖、攻擊或攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。IPS可以識別事件的入侵、關聯、影響、方向和適當的分析,然後向防火墻、交換機和其他網絡設備發送適當的信息和命令,以降低事件的風險。