| IPS(入侵防御系统)提出了多年,一直有个声音认为IPS会取代IDS(入侵检测系统),但是几年过去了,情况并非如此,那么IPS 目前到底处于什么状态呢? 据调查,目前59%的用户部署了IDS,27%的用户将IDS列入购买计划,62% 用户在关注 IPS,并且7%的用户有意向购买 IPS,这些数据表明,IDS和IPS 在国内都呈现出繁荣发展的前景。 这与几年前一些研究机构预计的“IPS将逐步取代IDS”的看法截然不同。IPS 既没有得到 “一览众山小”的市场局面,IDS 也没有“节节败退”,是什么原因使得人们的预测出现了如此大的偏差呢?要想找出其中的原因,不得不从研究历史出发,看看IDS 和IPS 都是如何发展的。 需求决定IDS 不会消沉 安全防护是一个多层次的保护机制,它既包括企业的安全策略,又包括防火墙、防病毒、入侵检测等产品技术解决方案。而且,为了保障网络安全,还必须建立一套完整的安全防护体系,进行多层次、多手段的检测和防护。IDS正是构建安全防护体系不可缺少的一环。 虽然有很多用户对IDS 是否具有存在价值表示过质疑,但到目前为止,更多的用户是在关注如何最大程度地发挥IDS 的作用,来保障网络的安全。 据市场统计显示,2005 年 IDS 可以占到安全市场全年总额的11.2%,市场销售额达到5. 5亿元。而2004 年国内IDS产品全年销售额是3.8亿元,占中国网络安全市场全年市场份额的 10.9%。2003 年IDS的市场销售额是2.75亿元。可以看出,随着国内用户的成熟,IDS在网络安全市场中也是处在一个稳定的发展阶段。在这种情况下,谁能说IDS的市场会江山不再呢? 促使IDS 得到广泛应用的另一个因素是,Slammer、冲击波等针对系统漏洞的攻击不断增多,新的软件漏洞不断被发现,一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中,从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短,用户需要一种可以检测攻击的有效工具,IDS 就是其中的一种。 自身改进打破IDS 灭亡论 虽然前一时间IPS取代IDS 的呼声日渐高涨,而且Gartner 发表的“IDS将死”言论更是让这两种技术的争斗达到了白热化,但在国内,IDS还没有受到 “灭亡论”的太大影响,这主要是因为IDS不断地进行着改造。目前的IDS 技术是需要有比较大的改进才能满足客户的需要,可能需要细分市场做出不同的产品来满足不同的客户。 从安全厂商来看,安氏中国、绿盟科技、McAfee、天融信、方正、冠群金辰、联想、东软、中科网威、启明星辰等众多厂商都有多款百兆和千兆的 IDS 产品。从对这些主流IDS 产品的评测来看,IDS 产品在性能方面也是不断进步的。比如, 2002 年——2003 年的百兆IDS 产品,在64 字节100%压力下平均检测能力仅有40.2%,而2003 年——2004年,部分百兆IDS 产品检测能力已达到100%,这标志着百兆IDS 产品在性能方面已经成熟。 而千兆IDS 产品的性能也有了长足的发展,捕获数据包的能力每秒67 万——85 万,最高可达140 多万,对大流量网络的适应能力明显增强。还有在功能方面,部分IDS 产品几年前就具备了网络流量分析、页面重组、内容恢复、事件回放等功能,如今不仅功能更为完善多样,而且功能的模块化也更有利于用户根据实际需要进行定制和应用。 近年来,IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中,我们都能发现IDS的身影。某证券公司的IT主管谈到:“随着企业网络结构的不断扩大和日益复杂,由内部员工违规引起的安全问题变得突出起来,防火墙、防病毒等常规的安全手段只能对付外部入侵,对于内部违规行为却无能为力。而IDS 可以审计跟踪内部违反安全策略的行为。另外,IDS 可以记录、报警各种安全事件,有利于进行安全审计和事后追踪,对于追溯和阻止拒绝服务攻击能够提供有价值的线索。” IPS(入侵防御系统)提出了多年,一直有个声音认为IPS会取代IDS(入侵检测系统),但是几年过去了,情况并非如此,那么IPS 目前到底处于什么状态呢? 据调查,目前59%的用户部署了IDS,27%的用户将IDS列入购买计划,62% 用户在关注 IPS,并且7%的用户有意向购买 IPS,这些数据表明,IDS和IPS 在国内都呈现出繁荣发展的前景。 这与几年前一些研究机构预计的“IPS将逐步取代IDS”的看法截然不同。IPS 既没有得到 “一览众山小”的市场局面,IDS 也没有“节节败退”,是什么原因使得人们的预测出现了如此大的偏差呢?要想找出其中的原因,不得不从研究历史出发,看看IDS 和IPS 都是如何发展的。 需求决定IDS 不会消沉 安全防护是一个多层次的保护机制,它既包括企业的安全策略,又包括防火墙、防病毒、入侵检测等产品技术解决方案。而且,为了保障网络安全,还必须建立一套完整的安全防护体系,进行多层次、多手段的检测和防护。IDS正是构建安全防护体系不可缺少的一环。 虽然有很多用户对IDS 是否具有存在价值表示过质疑,但到目前为止,更多的用户是在关注如何最大程度地发挥IDS 的作用,来保障网络的安全。 据市场统计显示,2005 年 IDS 可以占到安全市场全年总额的11.2%,市场销售额达到5. 5亿元。而2004 年国内IDS产品全年销售额是3.8亿元,占中国网络安全市场全年市场份额的 10.9%。2003 年IDS的市场销售额是2.75亿元。可以看出,随着国内用户的成熟,IDS在网络安全市场中也是处在一个稳定的发展阶段。在这种情况下,谁能说IDS的市场会江山不再呢? 促使IDS 得到广泛应用的另一个因素是,Slammer、冲击波等针对系统漏洞的攻击不断增多,新的软件漏洞不断被发现,一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中,从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短,用户需要一种可以检测攻击的有效工具,IDS 就是其中的一种。 自身改进打破IDS 灭亡论 虽然前一时间IPS取代IDS 的呼声日渐高涨,而且Gartner 发表的“IDS将死”言论更是让这两种技术的争斗达到了白热化,但在国内,IDS还没有受到 “灭亡论”的太大影响,这主要是因为IDS不断地进行着改造。目前的IDS 技术是需要有比较大的改进才能满足客户的需要,可能需要细分市场做出不同的产品来满足不同的客户。 从安全厂商来看,安氏中国、绿盟科技、McAfee、天融信、方正、冠群金辰、联想、东软、中科网威、启明星辰等众多厂商都有多款百兆和千兆的 IDS 产品。从对这些主流IDS 产品的评测来看,IDS 产品在性能方面也是不断进步的。比如, 2002 年——2003 年的百兆IDS 产品,在64 字节100%压力下平均检测能力仅有40.2%,而2003 年——2004年,部分百兆IDS 产品检测能力已达到100%,这标志着百兆IDS 产品在性能方面已经成熟。 而千兆IDS 产品的性能也有了长足的发展,捕获数据包的能力每秒67 万——85 万,最高可达140 多万,对大流量网络的适应能力明显增强。还有在功能方面,部分IDS 产品几年前就具备了网络流量分析、页面重组、内容恢复、事件回放等功能,如今不仅功能更为完善多样,而且功能的模块化也更有利于用户根据实际需要进行定制和应用。 近年来,IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中,我们都能发现IDS的身影。某证券公司的IT主管谈到:“随着企业网络结构的不断扩大和日益复杂,由内部员工违规引起的安全问题变得突出起来,防火墙、防病毒等常规的安全手段只能对付外部入侵,对于内部违规行为却无能为力。而IDS 可以审计跟踪内部违反安全策略的行为。另外,IDS 可以记录、报警各种安全事件,有利于进行安全审计和事后追踪,对于追溯和阻止拒绝服务攻击能够提供有价值的线索。” 主动防御是安全根本 绝大多数IDS 系统都是被动的,而不是主动性的。在攻击实际发生之前,IDS 往往无法预先发出警报。IPS则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。 现在谈主动防御的很多,这也是IPS 市场启动的根源。但是有专家认为,入侵防护应该是由多种安全设备组成的安全体系共同来实现,而不是由IPS这种设备单独来完成,IPS 只是主动防护的一部分,而不是主动防护的全部。主动防护系统还需要加入应用级防火墙与应用级IDS,应用级的IDS 产品能够重组信息流,跟踪应用会话过程,并准确描述和识别攻击,而应用级的防火墙能够阻断向应用层发起的攻击,保护Web 应用。 IDS、 IPS还将并驾齐驱 在主动防御渐入人心之时,担当网络警卫的IDS 的报警作用更加重要。尽管IDS 功过参半,但是IDS的报警功能仍是主动防御系统所必需的,也许IDS 的产品形式会消失,但是IDS的检测功能并不会因形式的消失而消失,只是逐渐被转化和吸纳到其他的安全设备当中。 IDS 与IPS 技术还会并驾齐驱很长一段时间。据市场研究公司Infonetics Research 发布的数据显示,到2006年,全球IDS/ IPS 市场收入将超过13 亿美元。 其实IDS 的发展道路可以借鉴防火墙的发展。防火墙早期从包过滤,应用代理发展起来,是从网络层应用及应用层解释开始,一步步关心起具体的协议;包过滤更关注分组的包头,应用代理关心分组的有效载荷,状态检测开始关注分组之间的关系;从安全设备发展的角度,这些并未发展到头,因为对有效载荷的分析还比较弱。IDS从特征匹配开始到协议分析,走得也是这条路;只是 IDS走到协议分析,也算是比较深入了,但网络上的应用太复杂了,技术挑战性太大。依照当前的用法与定位,IDS长期很难生存,但它对分组有效载荷的分析有自己的优势,这种技术可以用于所有的网络安全设备。而IPS 其实解决的也是边界安全问题,其实已开始象是防火墙的升级版了。 国外也已经有报道提到 IDS进入网络分析,协助网管软件进行工作,可能是一条比较好的道路(但随着IPv6 的发展,如果网上全是IPSec 包,不知道监听这条路怎么走下去)。 厂商们可以通过IDS 产品进入用户的网络,并随着应急服务以及安全培训逐步介入用户网络的运营,从长期而言(只要核心能力建设起来)可以进入安全运营外包市场(针对大客户)或者安全服务(针对大中客户)。因此,IDS 其实应该发展成服务而非产品模式,这点又与防火墙有极大不同。 由此来看,IDS和IPS 将会有着不同的发展方向和职责定位。IDS 短期内不会消亡,IPS 也不会完全取代IDS的作用。虽然IPS 市场前景被绝大多数人看好,市场成熟指日可待,但要想靠蚕食IDS 市场来扩大市场份额,对于IPS 来说还是很艰难的,如果真是这样,恐怕IPS 要尝尝青涩苹果的滋味了。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-10-1 07:42 , Processed in 0.226920 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
