减少主动性误操作
集成多类检测方法能增加IDS和IPS检测攻击的种类和数量,但仍无法避免误操作。主动性误操作是IPS应解决的首要问题,因为对合法通信的阻截会造成很多负面影响。
解决主动性误操作的有效方法是进行通信关联分析,也就是让IPS全方位识别网络环境,减少错误告警。这里的关键在于要将琐碎的防火墙日志记录、IDS数据、应用日志记录以及系统弱点评估状况收集到一起,合理推断出将发生哪些情况,并做出合适响应。
对网络运行环境的综合细致评估对发现致命攻击和查找潜在漏洞具有实质意义。目前,已有IDS开发商采用该项技术,它能帮助网络主管收集通信关联信息,从而提高IDS效率。Cisco声称其开发的Cisco威胁响应(CTR)技术能消除高达95%的错误告警。
CTR由Cisco旗下的Psionic软件公司开发。CTR安装于专用服务器中,该服务器位于IDS传感器与IDS管理控制平台之间,当传感器发出告警时,CTR便扫描目标主机,以确定触发告警的攻击是否会给系统带来不利影响。CTR能进行快速简单分析,如搜索开放端口、精确识别操作系统,或查找活动通信。更进一步的是,它还能扫描注册设置、事件日志记录和系统补丁工作状况,以确定目标主机是否易受攻击。如果CTR检测到主机易受攻击或攻击发生,便提升事件告警级别,向控制台发出最高优先级处理请求。
系统保护更受关注
如今很多IDS开发商更多地关注的是系统保护而不仅仅是检测功能。ISS认为,系统保护应同时包含预防和检测技术。ISS的RealSecure IDS基于网络和主机实现,能在线阻截各类攻击。ISS的RealSecure Guard是一类软件IPS。RealSecure Guard通过异常协议分析检测攻击,并能在攻击到达目标主机前实时将其阻截。
侧重于防火墙开发的NetScreen也在朝这一领域发展。NetScreen旗下OneSecure公司开发的IPS基于专用ASIC实现。NetScreen-IPD 100具备快速以太接口,最高吞吐率为200Mbps;NetScreen-IPD 500则具备千兆接口,峰值吞吐率达500Mbps。
IDS/IPS选择应用
是采用IDS还是IPS,需要实地考虑应用环境。IPS比较适合于阻止大范围的、针对性不是很强的攻击,但对单独目标的攻击阻截有可能失效,自动预防系统也无法阻止专门的恶意攻击者的操作。在金融应用系统中,用户除关心遭恶意入侵外,更担心误操作引发灾难性后果。例如,用户担心数据库中的信用卡账号丢失,最好的办法是加密存储。可见这类网络系统运用IDS比较适合。
潜在客户需要对配置IPS存在的风险和优势进行评估,也就是说是重在阻止攻击还是防范失误操作。目前来说,IPS还不具备足够智能识别所有对数据库应用的攻击,一般能做的也就是检测缓冲区溢出。另外,IPS与防火墙配置息息相关。如果没有安装防火墙,则没有必要配置这类在线工具;如果熟知网段中的协议运用并易于统计分析,则可采用这类技术。
一些机构对网络安全级别要求很高,如信用机构,这就需要混合的IDS/IPS解决方案,如IntruVert公司开发的IntruShield就兼具IDS/IPS功能,能自动监控通信并在线阻截攻击。
发展前景
IDS市场将不断发展,产品功能将不仅限于检测,IDS朝具备防护功能方向发展已是大势所趋。一项客户调查表明,IDS具备阻截攻击功能排在其功能需求的首位。Infonetics预计,IDS市场在未来几年中将呈爆炸性增长,到2006年创造的收益将达16亿美元。
IPS产品已经涌现,其发展前景取决于攻击阻截功能的完善。由于有着广泛的应用根基,传统的IDS并不会就此消失。一种情况是,客户不需要通信阻截功能,而只监视通信状况;有些需要为预防系统增加智能处理功能,而有的客户则习惯于人工处理。
Gartner将IPS视为下一代IDS,而且认为很有可能成为下一代防火墙。
减少主动性误操作
集成多类检测方法能增加IDS和IPS检测攻击的种类和数量,但仍无法避免误操作。主动性误操作是IPS应解决的首要问题,因为对合法通信的阻截会造成很多负面影响。
解决主动性误操作的有效方法是进行通信关联分析,也就是让IPS全方位识别网络环境,减少错误告警。这里的关键在于要将琐碎的防火墙日志记录、IDS数据、应用日志记录以及系统弱点评估状况收集到一起,合理推断出将发生哪些情况,并做出合适响应。
对网络运行环境的综合细致评估对发现致命攻击和查找潜在漏洞具有实质意义。目前,已有IDS开发商采用该项技术,它能帮助网络主管收集通信关联信息,从而提高IDS效率。Cisco声称其开发的Cisco威胁响应(CTR)技术能消除高达95%的错误告警。
CTR由Cisco旗下的Psionic软件公司开发。CTR安装于专用服务器中,该服务器位于IDS传感器与IDS管理控制平台之间,当传感器发出告警时,CTR便扫描目标主机,以确定触发告警的攻击是否会给系统带来不利影响。CTR能进行快速简单分析,如搜索开放端口、精确识别操作系统,或查找活动通信。更进一步的是,它还能扫描注册设置、事件日志记录和系统补丁工作状况,以确定目标主机是否易受攻击。如果CTR检测到主机易受攻击或攻击发生,便提升事件告警级别,向控制台发出最高优先级处理请求。
系统保护更受关注
如今很多IDS开发商更多地关注的是系统保护而不仅仅是检测功能。ISS认为,系统保护应同时包含预防和检测技术。ISS的RealSecure IDS基于网络和主机实现,能在线阻截各类攻击。ISS的RealSecure Guard是一类软件IPS。RealSecure Guard通过异常协议分析检测攻击,并能在攻击到达目标主机前实时将其阻截。
侧重于防火墙开发的NetScreen也在朝这一领域发展。NetScreen旗下OneSecure公司开发的IPS基于专用ASIC实现。NetScreen-IPD 100具备快速以太接口,最高吞吐率为200Mbps;NetScreen-IPD 500则具备千兆接口,峰值吞吐率达500Mbps。
IDS/IPS选择应用
是采用IDS还是IPS,需要实地考虑应用环境。IPS比较适合于阻止大范围的、针对性不是很强的攻击,但对单独目标的攻击阻截有可能失效,自动预防系统也无法阻止专门的恶意攻击者的操作。在金融应用系统中,用户除关心遭恶意入侵外,更担心误操作引发灾难性后果。例如,用户担心数据库中的信用卡账号丢失,最好的办法是加密存储。可见这类网络系统运用IDS比较适合。
潜在客户需要对配置IPS存在的风险和优势进行评估,也就是说是重在阻止攻击还是防范失误操作。目前来说,IPS还不具备足够智能识别所有对数据库应用的攻击,一般能做的也就是检测缓冲区溢出。另外,IPS与防火墙配置息息相关。如果没有安装防火墙,则没有必要配置这类在线工具;如果熟知网段中的协议运用并易于统计分析,则可采用这类技术。
一些机构对网络安全级别要求很高,如信用机构,这就需要混合的IDS/IPS解决方案,如IntruVert公司开发的IntruShield就兼具IDS/IPS功能,能自动监控通信并在线阻截攻击。
发展前景
IDS市场将不断发展,产品功能将不仅限于检测,IDS朝具备防护功能方向发展已是大势所趋。一项客户调查表明,IDS具备阻截攻击功能排在其功能需求的首位。Infonetics预计,IDS市场在未来几年中将呈爆炸性增长,到2006年创造的收益将达16亿美元。
IPS产品已经涌现,其发展前景取决于攻击阻截功能的完善。由于有着广泛的应用根基,传统的IDS并不会就此消失。一种情况是,客户不需要通信阻截功能,而只监视通信状况;有些需要为预防系统增加智能处理功能,而有的客户则习惯于人工处理。
Gartner将IPS视为下一代IDS,而且认为很有可能成为下一代防火墙。
