大家如何看待慢慢炒热的IPS产品

www.net130.com     日期:2010-6-20    浏览次数:
出处:互联网

越来越多的人开始关注IPS,而且IPS的厂商也在宣称他们实现了从IDS的被动防御到IPS主动防御的质变。但是,我作为一个在安全领域里面工作了多年的工程师,对IPS还是存在以下疑问:

1、IPS所谓的主动防御,其基础必然是入侵检测,只有检测到攻击,才可能作出防御的响应动作。IDS引擎的露报和误报是一直存在的一个困扰,除非IPS真的使用与IDS完全不同的检测机制,否则的话,他们如何克服这个困扰IDS的问题,如果入侵检测都无法圆满解决,以后的防御又从何谈起呢?

2、如果不能解决检测引擎的技术难题,那么这种IPS产品以在线安装的方式,不可避免对关键的应用流量产生影响,这可能是很严重的影响,IDS虽然面临同样的技术难题,但是其旁路安装的特点,决定了它的误报和露报不会对正常的业务流量产生非常严重的影响。安全性和可用性比起来,我觉得还是可用性更基础,更重要啊。

我比较认同以下的一段话:IDS和IPS是两种互不相同的技术。“IPS侧重访问控制,IDS侧重网络监控。IPS注重实施策略,IDS注重安全审查。IDS的职责不是保护网络,而是告诉你网络的安全状况。”

归根结底,IPS如果能够解决入侵检测引擎的问题,解决深度分析的性能问题,其必然是安全的一个优秀选择,但是,现在的IPS系统能够做的到么?

现在我的一些客户表达了对IPS系统的关注,我觉得应该在提供咨询服务的时候,站在一个公正客观的立场上,希望能听听各位的意见,IPS现在到底值不值得推荐给客户。

 

首先看IPS宣称的与IDS的最大的不同:IN-LINE,自动阻断;

IN-LINE和自动阻断解决了传统IDS PASS-BY接入方式不能单独对入侵作出响应的问题;同时又引入了新的性能瓶颈和单点故障问题,在同等处理环境下,IPS要比FW的处理能力高8-10倍以上才能达到和FW一样的处理效率;对硬件的要求大大提高;

传统的IDS随着市场的需求推动和技术自身的发展,出现了一些新的形式,如部署方式从集中式向分布式智能AGENT发展,检测技术从协议分析+模式匹配向神经网络及数据挖掘发展;响应方式从被动的告警向主动的联动,自动阻断发展等等,硬件体系从工控机向ASIC,FPGA,RISC等方向发展;
 
所以可以看出IPS会是IDS发展的一个方向,如果说IDS是V 1,那IPS可以称为V 2,至于将来,IDS肯定会向大规模,高速化,主动化,智能化发展,自动阻断也会是必备的响应方式之一,但未必会叫IPS;

既然大家都开始认可SOC这种形式,也都开始接受预防-检测-响应-恢复的安全体系,那就让安全产品各司其职为好,尤其是在大的行业;

本新闻共3页,当前在第1页  1  2  3  

分享道
相关新闻