自从著名的市场调查研究公司Gartner在2003年6月发布题为《入侵检测系统已“死”》的研究报告以来,关于到底是IDS(入侵检测系统)还是IPS(入侵防护系统)更有生命力的争论一直没有停止过,并有愈演愈烈之势。然而,争论从来不能解决实际问题,无论是媒体连篇累牍的报道,还是厂商的翻新炒作,抑或是学者引经据典的反复论证,都不能左右一个产品在市场上的实际走向,市场是检验产品生命力的唯一标准。应该看到,经过2004、2005两年的发展,IPS产品的阵营在不断扩大,所推出的产品也越来越丰富,但仍有不少厂家在在IDS领域专心经营,用户群也在日益扩大,并推出了不少令人振奋的新品,比如北京榕基网安日前推出了功能强大的RJ-IDS系列入侵检测产品,可以被看作是国内IDS产品仍然东风劲吹的佐证。榕基的新品推出是因势利导还是逆流而上呢,国内IDS产品的前景究竟如何呢,也许我们需要对IDS的产品特性及其近两年来的发展趋势有一个全面的了解,才不致于被充斥于我们面前的名目繁多但却未必可信的文字误导而得出想当然的结论。
不是朋友也不是对手
我们首先必须明了的是IDS和IPS为两类不同的产品,满足用户对网络安全的不同类型的需求,没有直接的市场竞争,从技术角度来看,其发展方向也不尽相同。关于这一点,即使我们与计算机系硕士生的水平相去甚远,也完全可以从已经公之于众的文献中仔细探求即可得到证明,只是稍稍费力一些。简单的说,尤其是在高速网络环境和大型网络环境中,对于网络整体安全形式的把握与拦截一个特定的攻击同样重要,这就使得IDS和IPS可以沿着两条若即若离的线路独自发展,而不必像来自不同派别的教徒一样斗得你死我活。从产品竞争关系看,有可能与IPS碰撞出火花的是UTM(统一威胁管理平台),因为他们都是同一类型的安全产品,而且UTM包含了比IPS更多的安全功能,IPS只是UTM的一个子集,理论上说,UTM可以吞灭IPS。而IDS和IPS具有基本相同的核心技术,即检测引擎和入侵特征库,在IDS产品的基础上推出IPS产品不是一个很难的事情,反之亦然,它们之间完全可以演化为一种共生的关系。
一个令人乐观的产品
当然,即便没有来自IPS的威胁,IDS仍需获得市场的认同,否则也会像流星般在划出耀眼的弧线后不见踪迹。客观的说,在IDS面市之初,关于IDS前景的种种争论和猜测使得这一产品的前景似乎不那么令人乐观,至少一些悲观主义者和不那么喜欢IDS的评论家都这么想,然而几年来的数字统计还是给喜欢IDS的人们带来了一些振奋。统计显示,2003年中国IDS的市场销售额是2.75亿元,2004年上升到3.8亿元,占中国网络安全市场全年市场份额的10.9%;2005年IDS占到安全市场全年总额的11.2%,市场销售额达到5.5亿元。随着IDS产品自身的发展和用户的成熟,IDS产品市场容量稳步攀升。这些数字足以说明IDS市场前景巨大,是继防火墙产品之后最有潜力的网络安全产品。
IDS在进化中
在IDS截至目前还不算长的生命周期中,它也在技术专家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理(SEM:SecurityEventManagement)及安全信息管理(SIM:SecurityInfomationManagement)的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。考虑到这一点,榕基RJ-IDS产品将入侵事件信息、隐患扫描系统得到的漏洞信息、防火墙事件信息、用户业务系统的可用性事件等融合起来,经整体分析,并通过各种视图展现给用户就顺应了IDS发展的潮流,确切的说,是站在产品发展潮流的前端,这对一直在搞网络安全技术的榕基网安来说其实不是一件太困难的事情。一旦IDS把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,将成为未来网络安全技术中不可缺少的一部分,IDS将与网络同在。
问题尚存希望却更大
当然,对于那些出于种种原因一直试图证明IDS前景黯淡的评论家来说,仍有一些理由使他们能够在IDS方兴未艾的今天依然高举批判的大旗,并随时组织起有效的阵地反击战,这就是曾经困扰过几乎所有IDS的对入侵的漏报和误报问题。必须承认,黑客们大都是比较聪明的计算机技术专家(虽然其中也包括一些勇敢多于智谋的莽夫),他们总是躲藏在黑暗之处向网络发射导弹,而拦截导弹确实比轰击固定目标难上许多。但安全技术专家同样是精于攻击与反攻击的高手,目前,很多网络安全公司中都招募了技术足以与黑客媲美的专业人材,准确地拦截黑色导弹是完全可以实现的。
上面提到的榕基网安公司就集中了业内许多优秀的安全技术专家,在对网络安全技术和黑客技术多年研究的基础上,榕基网安总结出一套行之有效的检测手段,误报率、漏报率均远远低于国内外同类产品,并得到了权威机构的评测认可。
IDS技术更上层楼
在网络安全攻防较量中,用户虽然无法抑制黑客们的蠢蠢欲动,但以更快的速度完善反黑客技术却是可以做到的。在新近推出的榕基RJ-IDS中,我们看到了不少会令黑客们头痛的新技术。榕基RJ-IDS系列产品具有主流IDS产品的所有功能。所有榕基RJ-IDS型号产品都可以实现双网络接口或多网络接口探测,多网络接口探测器功能可以同时监控多个交换机、多VLAN的数据,减少用户的投资。其千兆型号采用高速芯片板卡,使单台设备最高检测能力达到“线速”,是真正的"千兆"入侵检测产品。通过其多级管理功能能够满足大型项目的应用,可以轻松部署在千兆网络环境中,同时分析上、下行网络数据,实现了能对各级中心下的节点探测器进行用户统一管理、权限分配统一管理、策略分发统一管理等集中式管理功能,帮助企业最大限度的保护企业内部的网络安全。
上述技术无疑是反黑客技术的又一次跃进,榕基进步了,IDS进步了,黑客们也需要付出更多努力。如果国内厂家的IDS不断能有这样的技术进步,IDS是否能在未来网络安全技术领域成为一支中坚力量就不再是一个需要费力探讨的问题。