專注于光通信行業10年,主營華為、中興等品牌光端機、SDH、PCM、OLT等光各種光傳輸、光接入、波分交換設備!
資訊頻道
聯系我們
客服QQ:442341201
微信:vipvop88888518
工作時間
周一至周五:09:00-17:30 周六至周日:10:00-16:00
聯系方式
銷售:18123938879
客服:18691888046
商務:13421390426
   打印 繁體 關閉

重振入侵檢測系統

發布日期:2019-10-10 20:15:00 瀏覽:1270次

許多人認為,入侵檢測系統(IDS)就像當年的尋呼機一樣已經過時。這個觀點很大程度上與入侵檢測系統已經被入侵防御系統(IPS)所兼并有關,而IPS也已經被第二代防火墻和UTM兼并。




這種看法已經從IDS/IPS廠商那里得到驗證,這些致力于提高他們的IPS性能的廠商已經把IDS作為IPS組合產品中的其中一項部署。


“你想檢測入侵嗎?那么,只要部署我們的IPS(out-of-band)就可以了!”


顯而易見,入侵檢測系統和入侵防御系統不僅僅是簡單的同一種技術的兩種部署選項,它們實際上是有著不同需求,目標和不同角色的兩種概念。


時間和地點


現代IDS和IPS最明顯的差別在于它們位于攻擊的不同階段。入侵防御是一切關于通過實時檢測病毒感染和計算機妥協將危險擋在網絡外的技術。IPS檢測成千上萬個計算機漏洞、已知惡意域名和攻擊信號。


相反,入侵檢測系統將注意力放在計算機感染病毒后的入侵階段。入侵的出現意味著計算機已經妥協,需要尋找不同的東西檢測入侵。


IDS并不是搜索惡意程序,它的工作已經轉移到內部檢測。惡意軟件在內部傳播是用戶憑證或者數據已被盜取的標志。作為現代入侵檢測系統,至少要檢測與IPS不同的信息。


這些信息出現在不同的地方,排除威脅的工作使IPS很好的適應了位于內部網絡和互聯網邊界的位置。然而如果邊界設在防御邏輯層,攻擊的長尾效果還是能在內部網絡發揮作用的。


偷窺,傳播和盜取都是在內部完成,因此這就是IDS應該部署的地方。盡管IDS通常在內部網絡的深層部署,但是確保它在正確的地方和針對正確的威脅非常重要。如果在任何情況下發生了檢測失敗的案例,說明你沒有將它部署在正確的地方。



速度為王 慢速要命


除了正確的時間和地點,IDS急需一個新的大腦。當IPS已經越來越快并且依賴多類型簽名的時候,核心的檢測技術卻保持停滯。


幾十年來,簽名一直是檢測技術的主導方法,因為它們可以快速并適配尋找多種惡意指示器。用短字符和字符串簽名能發現漏洞,惡意域名,IP地址,非法用戶代理和無數的其他惡意負荷。


但簽名的弱點也廣為人知,因此必須保持IPS的基本優勢—速度。如果你想防止威脅,你就必須能夠快速做出決定。


隨著IPS集成到UTM和防火墻中,關于惡意文件的判定就是必須快速,給予IPS思考的時間很少。簽名必須快速而且占用很少的內存,為上下文環境留出空間。


現代入侵檢測系統對于這些類型的限制沒有任何作用,它不執行網絡設備的指令,而是執行最佳檢測威脅方案的指令。



如今的網絡攻擊是長時間的、多步驟的,并隨著時間和各種設備的發展而進化。在時間性的網絡環境下,哪怕是良性的孤立事件也會被判定為惡意。


這就需要新的檢測技術和方法。盡管沒有一勞永逸的方法,但一個有效的IDS必須具備彈性以發展和使用多種檢測方法,而不是只與一種方法結合。


“下一代”這個詞在行業中已經用爛,很顯然IDS必須邁出巨大的一步。IDS不能只是“沒有牙”(指無攻擊性)的IPS,IDS必須成為一切檢測技術的擴展集合,此為壯大IPS的唯一道路。


  • 聯系我們
  • 聯系電話:0755-83462189 18123938879 18691888046
  • 聯系地址:廣東省深圳市羅湖區清水河三路博豐大廈15層
国内少妇高潮嗷嗷叫在线播放