论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 194 篇帖子 ]  前往页数 1, 2, 3, 4, 5 ... 13  下一页
作者 内容
 文章标题 : 【讨论】大家如何看待慢慢炒热的IPS产品
帖子发表于 : 2005-03-09 18:48 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,476.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
越来越多的人开始关注IPS,而且IPS的厂商也在宣称他们实现了从IDS的被动防御到IPS主动防御的质变。但是,我作为一个在安全领域里面工作了多年的工程师,对IPS还是存在以下疑问:

1、IPS所谓的主动防御,其基础必然是入侵检测,只有检测到攻击,才可能作出防御的响应动作。IDS引擎的露报和误报是一直存在的一个困扰,除非IPS真的使用与IDS完全不同的检测机制,否则的话,他们如何克服这个困扰IDS的问题,如果入侵检测都无法圆满解决,以后的防御又从何谈起呢?

2、如果不能解决检测引擎的技术难题,那么这种IPS产品以在线安装的方式,不可避免对关键的应用流量产生影响,这可能是很严重的影响,IDS虽然面临同样的技术难题,但是其旁路安装的特点,决定了它的误报和露报不会对正常的业务流量产生非常严重的影响。安全性和可用性比起来,我觉得还是可用性更基础,更重要啊。

我比较认同以下的一段话:IDS和IPS是两种互不相同的技术。“IPS侧重访问控制,IDS侧重网络监控。IPS注重实施策略,IDS注重安全审查。IDS的职责不是保护网络,而是告诉你网络的安全状况。”

归根结底,IPS如果能够解决入侵检测引擎的问题,解决深度分析的性能问题,其必然是安全的一个优秀选择,但是,现在的IPS系统能够做的到么?

现在我的一些客户表达了对IPS系统的关注,我觉得应该在提供咨询服务的时候,站在一个公正客观的立场上,希望能听听各位的意见,IPS现在到底值不值得推荐给客户。


--------本帖迄今已累计获得89安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-10 14:02 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,476.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
57人浏览,0人回复,这不应该是一个专业技术论坛的风格,我抱怨一下!!


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-10 14:25 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
我猜想那些不回复意见的人恐怕是认同了你的观点,我就是其中一个 :lol:

我也觉得IPS技术不像它表面上宣传的那样好,其中的基本原则是正确的,在有些情况下也许是有效的,但由于检测技术的限制效果恐怕还无法令人满意。在安全事件检测和分析领域,自动化技术替代分析专家的作用还是不现实的。所以做为安全从业人员我们还是应该提醒用户认清IPS技术的局限性,不要给用户以虚假的安全感。


--------本帖迄今已累计获得25安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 侃两句
帖子发表于 : 2005-03-10 15:17 
离线
高级用户

注册: 2004-03-02 13:51
最近: 2016-01-08 11:41
拥有: 1,634.60 安全币

奖励: 10 安全币
在线: 3190 点
帖子: 145
地址: 北京
首先看IPS宣称的与IDS的最大的不同:IN-LINE,自动阻断;
IN-LINE和自动阻断解决了传统IDS PASS-BY接入方式不能单独对入侵作出响应的问题;同时又引入了新的性能瓶颈和单点故障问题,在同等处理环境下,IPS要比FW的处理能力高8-10倍以上才能达到和FW一样的处理效率;对硬件的要求大大提高;

传统的IDS随着市场的需求推动和技术自身的发展,出现了一些新的形式,如部署方式从集中式向分布式智能AGENT发展,检测技术从协议分析+模式匹配向神经网络及数据挖掘发展;响应方式从被动的告警向主动的联动,自动阻断发展等等,硬件体系从工控机向ASIC,FPGA,RISC等方向发展;
所以可以看出IPS会是IDS发展的一个方向,如果说IDS是V 1,那IPS可以称为V 2,至于将来,IDS肯定会向大规模,高速化,主动化,智能化发展,自动阻断也会是必备的响应方式之一,但未必会叫IPS;
既然大家都开始认可SOC这种形式,也都开始接受预防-检测-响应-恢复的安全体系,那就让安全产品各司其职为好,尤其是在大的行业;


--------本帖迄今已累计获得63安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 也谈IDS
帖子发表于 : 2005-03-10 15:34 
离线
高级用户

注册: 2004-03-02 13:51
最近: 2016-01-08 11:41
拥有: 1,634.60 安全币

奖励: 10 安全币
在线: 3190 点
帖子: 145
地址: 北京
胡说两句:
有些人一谈到IDS,马上摇头叹息,不行,误报率太高,漏报率太高,没用,IPS也没用。可您是否想过对IDS要求有些高?
现有的入侵检测技术并没有严格完整的数学模型,依靠的基本都是专家的经验,所以您可以看到大的入侵检测厂商都有攻防实验室,靠自己积累知识和经验来制订入侵行为的特征;
IDS的设计原理也是基于异常行为和正常行为可以区分这一观点,可惜的是异常行为和正常行为并不容易轻易区分,所以导致高误报率和高漏报率,这也并不能怪IDS,毕竟人比机器聪明嘛,如果您随意敲几个命令,机器就能准确地判断出你要干什么,那这个世界上也就不需要IDS了,一个全新的时代来临了--机器比人聪明了;确实有机器比人聪明,比如深蓝战胜了卡四帕罗夫,可是也付出了巨大的代价,由此可看出,在当前的技术水平下,尤其是各种人工智能技术都停留在实验室阶段的水平下,对IDS要求过高是不现实的。


--------本帖迄今已累计获得58安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-10 16:08 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
IDS虽然有不少不尽如人意之处,但却是信息系统安全不可或缺的重要构件,不但有用,而且必要。

之所以有IDS无用的说法,除了其本身的不完善性外,主要归因于使用者及其使用方法的问题,即使用者没有能力处理其日志信息。这种专业的能力也不是大多数机构可能具备的,所以需要可信、专业的机构为他们提供这种服务。

IPS是对IDS响应方式的一种变革,但其有效性是建立在准确判断安全事件的基础之上,这个问题单靠目前的IDS无法有效解决,也不可能靠IPS解决。所以IPS只是解决响应时效的问题,而难以解决对安全事件进行有效判断这个根本问题。

IPS的使用也会如IDS一样遇到机构能力不足的问题,所以目前的最好方法是由专业机构提供安全管理服务,即我们在重视技术创新的同时也要重视管理方法的创新。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 争论由来以久了
帖子发表于 : 2005-03-10 17:51 
离线
高级用户

注册: 2004-03-02 13:51
最近: 2016-01-08 11:41
拥有: 1,634.60 安全币

奖励: 10 安全币
在线: 3190 点
帖子: 145
地址: 北京
相关的讨论太多了,仁者见仁,智者见智;
当前比较认可的处理方式是:
中小企业用户资金有限,安全意识较差;缺乏专业的信息安全管理人员,无法对入侵作出即时有效的响应,而又面临安全威胁,所以可能会比较欢迎ips这种方式;
大行业用户资金雄厚,有专业的安管人员,需求比较明确,一般拥有较完善的安全体系,希望能发挥安全产品的最大作用,同时也希望能发挥安全防御体系中最活跃的因素“人”的作用;所以可能会偏向于IDS;
说来说去,还是以客户需求为主;如果你能同时搞定大小用户,那IPS的春天就来了。


--------本帖迄今已累计获得59安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-10 18:37 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,476.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
谢谢各位兄弟的意见,如果真的能解决了识别检测的问题,那么无论是IDS还是IPS,肯定都是一个必然发展的趋势,当然,它们将来可能既不叫IDS也不叫IPS,而是叫ADS(almighty defense system)。:)

我非常同意各位的看法,IDS这种机制,目前还是要较多的依靠人工的管理和监控,才能发挥较好的作用,管理和维护人员的素质是非常重要的。

我觉得:
如果网络流量中没有关键应用的话(例如银行的交易数据流),那么对服务的短期中断不是非常敏感,也就是不要求持续可用性,就可以考虑部署IPS系统。
而象银行这类网络中存在关键应用的企业,最好还是三思而后行,谨慎为之。


--------本帖迄今已累计获得56安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-10 18:39 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,476.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
再次感谢各位的看法 :roll: :roll: :roll: :roll:


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-15 16:29 
离线
初级用户

注册: 2004-08-04 22:12
最近: 2012-10-09 10:49
拥有: 323.80 安全币

奖励: 18 安全币
在线: 1790 点
帖子: 40
对于一个应用系统,保障它的应用是最主要的,如果由于误报造成对用户服务的失败,我想大家都知道后果吧。从技术角度来说我们是应该对IDS宽容一点,但是在应用的角度,用户和老板会对一个不成熟的产品宽容吗?不管是IDS还是IPS还只是处于理论阶段,在实际的工作中所能起到的效果并没有宣传的那么好。


--------本帖迄今已累计获得52安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-15 17:52 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,476.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
不至于现在还处于理论阶段吧,估算一下,IDS和IPS可能每年全球也能卖不少钱了,只是他们似乎对于人员素质要求确实高了一点,真正能有效使用它们达到良好效果,不是简单的事情.


--------本帖迄今已累计获得52安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-16 16:47 
离线
初级用户

注册: 2003-11-17 15:23
最近: 2008-05-20 16:51
拥有: 314.00 安全币

奖励: 0 安全币
在线: 2016 点
帖子: 37
针对IPS的Inline安装模式所出现的可用性问题,IPS厂商也采取了一定的技术手段,比如说一般都具备Fail-open的功能,保证在IPS出现故障的时候,网络还是正常可用的(只是此时没有检测和阻断功能而已)。

我觉得IPS更应该叫响应产品(PDR的R),而IDS则是检测产品。


--------本帖迄今已累计获得54安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-16 18:45 
离线
中级用户

注册: 2004-02-28 18:58
最近: 2012-04-01 09:02
拥有: 62.00 安全币

奖励: 0 安全币
在线: 2638 点
帖子: 115
地址: 深圳
个人使用几年经验:
IXS不是没用,是没太多用处。要用好实在不容易。
不是不要买,是可放在采购清单的最后买。在此之前可先投资AAA,即审计、认证等。甚至有些免费产品如完整性产品tripwire, sysloG等可能比IXS实用一些。
还有价格也略显高。
最后,我不知道大家是如何管理IDS的?有无专职管理员成天盯住?
有无细致的POLICY自订?有无定期的REPORT?有无定期的事件审计?

如果几年过去,我的系统从未被hack过或未发现被hack过?IDS的事后审计价值又表现在哪?如果系统还是给HACK了,你能确保IXP能发现和阻断或能及时提示你吗?你半夜在家睡觉的时候敢相信IXS给你发来的alert吗?

与FW联动?阻断?我是没研究也没想去试。谁做过?谁敢做?


--------本帖迄今已累计获得51安全币用户奖励--------


最后由 fireman 编辑于 2005-03-17 08:55,总共编辑了 2 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-16 20:29 
离线
中级用户

注册: 2004-01-15 15:58
最近: 2010-12-29 10:09
拥有: 631.00 安全币

奖励: 0 安全币
在线: 2114 点
帖子: 71
地址: 重庆
我也来N几句。IPS有几点问题需要重视
1、检测的误报,引起不必要的阻断
2、由于自身的检测机制,遇到DOS攻击是否能抗的住(特别是小包)
3、大流量的情况下,能承受多少
4、价格问题,我看除非是大型企业能出单,中小型企业只有观望的份,中小企业的市场起不来,这个产品也不会是成功的产品


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-17 09:03 
离线
新手

注册: 2005-01-26 11:26
最近: 2011-03-09 13:06
拥有: 4.00 安全币

奖励: 0 安全币
在线: 325 点
帖子: 8
:) 无论IPS的发展如何,其最核心的检测功能应该是不变的,发展过程中同样会面临IDS曾经遇到过的一些问题,如误报,IXS的管理与维护,复杂网络IXS的安置,海量数据的处理,IXS的逃避与攻击等,最让人不安的是IPS的响应程度如何,相信谁也不会愿意看到因为IPS的不当响应而阻断业务的运行!


--------本帖迄今已累计获得54安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 194 篇帖子 ]  前往页数 1, 2, 3, 4, 5 ... 13  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012