IPS/IDS的技术创新与改变

日期: 2012-10-07 作者:Karen Scarfone翻译:徐庆红 来源:TechTarget中国 英文

曾经入侵检测系统(IDS)和入侵防御系统(IPS)被认为是解决企业内部检测攻击的最佳方案。 但近来IPS/IDS技术被认为是过时,无效和无用的。而事实上它介于这两种极端观点之间。IPS/IDS技术是全面攻击和漏洞检测系统的重要组成部分,它们与其他类型的企业安全控制协同工作。

  与10或15年前相比,IDS/ IPS技术并没有很大的改变,但也有重大的技术创新和改变,提高了检测能力。本文将会带给你IPS/IDS的最新技术,新功能和其他显著变化。   信誉服务   很多基于网络和基于主机的IDS和IPS产品最近都增加了信誉服务。这些服务已经在其他类型的安全控制中使用多年。

信誉服务能收集域名,IP地……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

曾经入侵检测系统(IDS)和入侵防御系统(IPS)被认为是解决企业内部检测攻击的最佳方案。 但近来IPS/IDS技术被认为是过时,无效和无用的。而事实上它介于这两种极端观点之间。IPS/IDS技术是全面攻击和漏洞检测系统的重要组成部分,它们与其他类型的企业安全控制协同工作。

  与10或15年前相比,IDS/ IPS技术并没有很大的改变,但也有重大的技术创新和改变,提高了检测能力。本文将会带给你IPS/IDS的最新技术,新功能和其他显著变化。

  信誉服务

  很多基于网络和基于主机的IDS和IPS产品最近都增加了信誉服务。这些服务已经在其他类型的安全控制中使用多年。信誉服务能收集域名,IP地址,应用协议,物理位置和计算活动的其他方面信息。然后,IPS/IDS系统利用这些信息来确定新的活动是否是是恶意的。此信息对提高确定IPS/IDS警报的优先级特别有价值。例如,IPS/IDS传感器可以对各类不寻常的活动发出警报,但是这些IP地址之一的其他恶意操作历史记录可能会提升它的分析优先级,因为它可能是有恶意的。

  无线IPS/IDS的改进

  无线IPS/IDS技术比其他形式的IPS/IDS技术都要先进。随着无线技术的发展,无线IPS/IDS技术正不断扩大自己的能力。例如,自从IEEE 802.11n传输标准确定后,大多数无线IPS/IDS技术已经增加了对此标准的支持。

  不管企业是否支持无线设备,企业使用无线IPS/IDS都是一个很好的选择。如果企业支持无线,包括BYOD(自备设备),那么就更需要监控来避免网络配置错误和攻击。如果企业不准许使用无线技术,无线IPS/IDS仍然可以检测出未经授权的使用,甚至帮助企业自身找到哪里有无线。

  企业应该充分利用企业移动设备管理(MDM)软件所提供的与无线IPS/IDS一样的性能。这样的软件越来越多地部署在企业内部,用来帮助企业管理智能手机,平板电脑和其他移动设备。

  SSL加密流量的在线检测

  随着HTTPS和其它加密协议应用的增加,网络IPS/IDS传感器普遍对检测网络流量已变得没有多大作用。然而,最近一些网络IPS/IDS产品增加了内网部署和检测SSL加密流量的能力。这些产品基本上就是充当一个代理,它建立了两个SSL的连接:一个从端点A连接到IPS/IDS传感器,另外一个从IPS/IDS传感器连接到端点B,从端点A到端点B就不是单一的SSL连接,而是通过传感器加密。事实上,这种设备可以对一个加密的数据包进行解密,检测,再加密,然后将其无显著延迟的发送。而且它也在连接中插入一个代理,代理自身是安全和可靠的。企业可能更倾向于使用基于主机的IPS/IDS而不是基于网络的IPS/IDS进行SSL加密流量检测。

  虚拟环境中IPS/IDS的应用

  云计算的兴起带来了对云安全技术的特性需求。值得庆幸的是,hypervisor(虚拟机管理器)是监控一个虚拟实例和不同虚拟实例间网络行为的好地方,更知名的叫法师内部检测。一些hypervisor主动提供自己的入侵检测技术,另外一些hypervisor可以把内部检测收集而来的信息传递到外部安全的控件,例如,标准的基于主机的IPS/IDS来检测和发出警报。企业要确保当一个虚拟实例从一个云服务器移到另一个时,其安全策略(包括IPS/IDS配置)也一并被转移。

相关推荐

  • 网络入侵防御系统全解

    现在有很多网络入侵防御系统产品,它们主要有三种形式,而本文重点介绍的作为专用硬件和软件产品的IPS,这种IPS直接部署到企业的网络,以及虚拟设备以部署到服务器内虚拟网络。

  • 绿盟科技四款产品入围电信集采

    在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。

  • 戴尔SonicWALL SuperMassive E10800再次入围NSS实验室“推荐”评级

    戴尔运行SonicOS 6.0软件和集成式入侵防御服务的下一代防火墙SonicWALL SuperMassive E10800再度赢得美国NSS实验室2013入侵防御系统安全值图的“推荐”评级。

  • 网络安全评估:测试防火墙和IDS

    大多数攻击都来自网络外部,企业必须测试网络边界设备(网络扫描、IDS、IPS、防火墙),保证系统及时安装补丁。