入侵防御系統(tǒng)(Intrusion Prevention System,IPS)是這段時(shí)間網(wǎng)絡(luò)安全業(yè)內(nèi)比較熱門(mén)的一個(gè)詞,這種既能及時(shí)發(fā)現(xiàn)又能實(shí)時(shí)阻斷各種入侵行為的安全產(chǎn)品,自面世那天起,就受到各大安全廠商和用戶的廣泛關(guān)注。
有人認(rèn)為,入侵防御系統(tǒng)(IPS)就是入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)的升級(jí)產(chǎn)品,有了IPS,就可以替代以前的IDS系統(tǒng),這也正是gartner 在2003年發(fā)表那篇著名的“IDS is dead” 的理由。
從入侵防御系統(tǒng)的起源來(lái)看,這個(gè)“升級(jí)說(shuō)”似乎有些道理:Network ICE公司在2000年首次提出了IPS這個(gè)概念,并于同年的9月18日推出了BlackICE Guard,這是一個(gè)串行部署的IDS,直接分析網(wǎng)絡(luò)數(shù)據(jù)并實(shí)時(shí)對(duì)惡意數(shù)據(jù)進(jìn)行丟棄處理。
但這種概念一直受到質(zhì)疑,自2002年IPS概念傳入國(guó)內(nèi)起,IPS這個(gè)新型的產(chǎn)品形態(tài)就不斷地受到挑戰(zhàn),而且各大安全廠商、客戶都沒(méi)有表現(xiàn)出對(duì)IPS的興趣,普遍的一個(gè)觀點(diǎn)是:在IDS基礎(chǔ)上發(fā)展起來(lái)的IPS產(chǎn)品,在沒(méi)能解決IDS固有問(wèn)題的前提下,是無(wú)法得到推廣應(yīng)用的。
這個(gè)固有問(wèn)題就是“誤報(bào)”和“濫報(bào)”,IDS的用戶常常會(huì)有這種苦惱:IDS界面上充斥著大量的報(bào)警信息,經(jīng)過(guò)安全專(zhuān)家分析后,被告知這是誤警。但在IDS旁路檢測(cè)的部署形式下,這些誤警對(duì)正常業(yè)務(wù)不會(huì)造成影響,僅需要花費(fèi)資源去做人工分析。而串行部署的IPS就完全不一樣了,一旦出現(xiàn)了誤報(bào)或?yàn)E報(bào),觸發(fā)了主動(dòng)的阻斷響應(yīng),用戶的正常業(yè)務(wù)就有可能受到影響,這是所有用戶都不愿意看到和接受的。正是這個(gè)原因,導(dǎo)致了IPS概念在05年之前的國(guó)內(nèi)市場(chǎng)表現(xiàn)平淡。
隨著時(shí)間的推進(jìn),自2006年起,大量的國(guó)外廠商的IPS產(chǎn)品進(jìn)入國(guó)內(nèi)市場(chǎng),各本土廠商和用戶都開(kāi)始重新關(guān)注起IPS這一并不新鮮的“新”概念。
IPS到底是什么?
“IPS可以阻斷攻擊,這正是IDS所做不了的,所以IPS是IDS的升級(jí),是IDS的替代品”,可能很多人都會(huì)有這種看法。
我們先來(lái)看IPS的產(chǎn)生原因:
A:串行部署的防火墻可以攔截低層攻擊行為,但對(duì)應(yīng)用層的深層攻擊行為無(wú)能為力。
B:旁路部署的IDS可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為,作為防火墻的有益補(bǔ)充,但很可惜的是無(wú)法實(shí)時(shí)的阻斷。
C: IDS和防火墻聯(lián)動(dòng):通過(guò)IDS來(lái)發(fā)現(xiàn),通過(guò)防火墻來(lái)阻斷。但由于迄今為止沒(méi)有統(tǒng)一的接口規(guī)范,加上越來(lái)越頻發(fā)的“瞬間攻擊”(一個(gè)會(huì)話就可以達(dá)成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火墻聯(lián)動(dòng)在實(shí)際應(yīng)用中的效果不顯著。
于是就有下面的一種想法。
這就是IPS產(chǎn)品的起源:一種能防御防火墻所不能防御的深層入侵威脅(入侵檢測(cè)技術(shù))的在線部署(防火墻方式)安全產(chǎn)品。
而為什么會(huì)有這種需求呢?是由于用戶發(fā)現(xiàn)了一些無(wú)法控制的入侵威脅行為,這也正是IDS的作用。
入侵檢測(cè)系統(tǒng)(IDS)對(duì)那些異常的、可能是入侵行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警,告知使用者網(wǎng)絡(luò)中的實(shí)時(shí)狀況,并提供相應(yīng)的解決、處理方法,是一種側(cè)重于風(fēng)險(xiǎn)管理的安全產(chǎn)品。
入侵防御系統(tǒng)(IPS)對(duì)那些被明確判斷為攻擊行為,會(huì)對(duì)網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行檢測(cè)和防御,降低或是減免使用者對(duì)異常狀況的處理資源開(kāi)銷(xiāo),是一種側(cè)重于風(fēng)險(xiǎn)控制的安全產(chǎn)品。
這也解釋了IDS和IPS的關(guān)系,并非取代和互斥,而是相互協(xié)作:沒(méi)有部署IDS的時(shí)候,只能是憑感覺(jué)判斷,應(yīng)該在什么地方部署什么樣的安全產(chǎn)品,通過(guò)IDS的廣泛部署,了解了網(wǎng)絡(luò)的當(dāng)前實(shí)時(shí)狀況,據(jù)此狀況可進(jìn)一步判斷應(yīng)該在何處部署何類(lèi)安全產(chǎn)品(IPS等)。