入侵防御系统IPS,苹果熟了吗?
2008-09-10 13:24:24 来源:WEB开发网从技术的同源性上来看, IPS 和IDS之间有着千丝万缕的必然联系,IPS 可以被视作是增加了主动阻断功能的IDS。例如 McAfee 的IntruShield 以在线方式接入网络时就是一台IPS,而以旁路方式接入网络时就是一台IDS。但是,IPS 绝不仅仅是增加了主动阻断的功能,而是在性能和数据包的分析能力方面都比IDS 有了质的提升。
由于增加了主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍,Juniper 在IDP(Juniper 将自己的入侵防护产品命名为IDP) 中使用包括状态签名、协议异常、后门检测、流量异常、网络蜜罐、哄骗检测、第二层攻击检测、同步泛洪检测、混合式攻击检测在内的“多重检测技术”,以提高检测和阻断的准确程度。Juniper还在不断增加IDP 能够解析的协议数量,最近将支持50 种协议增加到60多种,不断为防止新型攻击开发新的检测方法。
除了检测机制外,IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS 能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。 McAfee、Juniper、ISS同时都在 IPS 中提供了调优机制,使IPS 通过自学习提高检测的准确性。
引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标,所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee 也于日前收购了从事漏洞研究的 Foundstone公司,致力于把漏洞分析技术与入侵防护技术结合起来,使关键资源得到主动防护。Juniper设有一个专门的安全小组,密切关注新的系统弱点和蠕虫,每周都会发布攻击签名和基于严重等级的紧急签名更新, Juniper 提供的攻击签名是基于弱点和安全漏洞,而不仅仅是黑客已经使用并且造成破坏的安全弱点。
更多精彩
赞助商链接