首页 > 信息安全 > 正文

十年回望之入侵检测与防御

2010-08-11 13:17:22  来源:51CTO

摘要:十年前,诸多安全公司选择了IDS产品作为进入国内安全市场的第一款安全产品;十年后,大浪淘沙,业内知名的IDS产品并不多了,这十年发生了什么?未来十年又会怎样……
关键词: 绿盟科技 信息安全

  十年前,诸多安全公司选择了IDS产品作为进入国内安全市场的第一款安全产品;十年后,大浪淘沙,业内知名的IDS产品并不多了,这十年发生了什么?未来十年又会怎样……

  过去的十年

  冰冻三尺非一日之寒,不论哪个产品,如何在十年的竞争中获得优势,一定与其在这个领域的执着和专注是密不可分的。

  市场萌芽, IDS产品成为安全市场的敲门砖

  2000年至2004年期间,各种蠕虫病毒大肆爆发,红色代码、尼姆达、冲击波,震荡波此起彼伏,它们的各种变种程序更是层出不穷,在互联网上任意肆虐。面对上述基于正常端口工作的蠕虫病毒,传统的防火墙(Firewall)显得束手无策,而入侵检测系统(IDS)则能够利用这些蠕虫病毒的攻击特征,进行检测和预警,这使得IDS一时名声大噪,各大安全厂商争先恐后涌入IDS市场。

  就在国内IDS市场刚刚萌动的同时,国际安全厂商在海外酝酿一场新的技术变革。2000年9月18日,Network ICE第一次将pass by的IDS技术用于pass through模式,在线部署的BlackICE Guard产品,通过分析网络流量,直接丢弃恶意数据包,这也是入侵防御系统(IPS)的最早雏形。为了抑制当时较为泛滥的拒绝服务攻击(D.o.S),早期的IPS产品都带有一定抗拒绝服务攻击能力,部分网络厂商、负载均衡厂商借此机会跻身IPS市场,从而使得早期的IPS市场较为混乱。

  绿盟科技是国内最早进入IDS市场的安全厂商之一,凭借对入侵检测市场的深刻理解,以及多年来在安全领域的深耕精作,绿盟入侵检测系统(NSFOCUS IDS)自2001年上市以来,就一直代表着业界IDS的最高水平,持续多年直至今日,该产品仍牢牢占据着国内IDS市场的领导者地位。

  2004年,NSFOCUS IDS做出重大技术变革,在绿盟科技特别定制的安全操作系统之上,NSFOCUS IDS的引擎架构经过重新设计,检测技术由单包模式匹配,全面进化到完全的状态检测与深入的协议解码。同时,系统的稳定性和处理性能得到极大提升。由此形成的系统主体框架一直沿用到现在,这也成为了今后NSFOCUS IPS所采用的基本系统架构。

  

过去的十年

 

  图1 早期的NSFOCUS IDS产品图片

  “IDS已死?”,IPS粉墨登场!

  随着互联网的普及,公司之间的联系比以往更加密切,更多企业的生产系统,以及运营体系逐渐向互联网迁徙,在发展或提高生产力的同时,安全成为企业尤为关注的重要环节。防火墙和IDS在面对趋于复杂的混合性安全威胁时略显苍白,企业迫切需要一种能够积极、主动应对不断变化的安全威胁,有效控制各类网络安全风险的产品,IPS再次引起人们的关注。

  IPS将入侵检测技术应用到串联网络之中,旨在第一时间对所有出入企业网络的流量进行深度分析和检测,实时阻断攻击。基于其高效的处理性能和精准的检测效率,IPS重新诠释了网络安全的定义,并从根本上改变了人们保护网络架构和应用系统的方式。

  区别于防火墙和IDS,IPS具有更精准的检测率和更有效的执行力,能够实现对整个报文流直至应用层的全面检测和保护。系统融合多重检测机制,通过应用状态防火墙、智能协议分析、异常检测、状态签名、关联分析,以及行为建模等多种方法,以确保能准确识别入侵,并在损失发生之前精确拦截攻击,从而持续净化互联网和内网的流量。

  

“IDS已死?”,IPS粉墨登场!

 

  图2 入侵防御系统和传统安全产品的区别

  因为IPS能够完全取代IDS,并提供IDS所不具备的关键功能,使得IPS产品逐渐成为国内IT安全市场上一个新的热点。然而,早期的国内IPS市场充斥着传统国际IPS厂商的身影,多数国内安全厂商却仍在为IDS和IPS孰是孰非,为Gartner的“IDS is dead”论调争论不休。直至2005年9月,绿盟科技正式推出了国内第一款IPS产品 —— 绿盟入侵防御系统(NSFOCUS IPS),终于打破国际IPS厂商一统天下的局面。

  大浪淘沙,IPS领军人物出现

  自2007年起,市场上涌现出越来越多的IPS产品,国内IPS市场也得到了充足的发展。据国际权威调研机构IDC统计分析,IPS市场是国内IT安全市场中,近几年来增长速度最快的子市场之一。与此同时,因为部分用户市场完全覆盖,国内IDS市场规模受到IPS冲击,增长速度逐渐减缓,甚至成为2009年唯一开始负增长的安全子市场。

  一边是高歌猛进的IPS市场,一边是逐渐没落的IDS市场,绿盟科技均一直保持平稳增长和绝对的市场统治力。

  其实在这个市场中,也会重复着IDS市场的过去,市场兴起的时候诸多厂家争相进入,产品鱼龙混杂,而到了后期,只有专注和坚持的厂家才能活下来,成为真正的领军人物。

  

大浪淘沙,IPS领军人物出现

 

  图3 绿盟入侵检测/防御系统(NSFOCUS IDS/NSFOCUS IPS)发展历程

  ◆2006年至2009年,NSFOCUS IPS连续4年进入IDC定义的国内IPS领导者行列;?

  ◆2009年7月,绿盟科技荣获Frost&Sullivan颁发的“2009年中国IDS/IPS市场增长战略领导者”奖(2009 China Frost & Sullivan Growth Strategy Leadership Award in the IDS/IPS Network Security Market),由此率先完成历史性突破,成为国内首家获此殊荣的安全厂商;?

  ◆2010年3月,NSFOCUS IPS荣获NSS Labs Approved认证,并被认定为最高级别Recommended产品,成为国内安全厂商中唯一获得该权威机构认证的产品…

  下一个十年

  目前,安全威胁形势已经改变,全球性的安全疫情很难复现,区域性和定向攻击,在数量与精密度上势必持续升高;强制性感染已经成为常态,用户只要浏览到恶意网站就可能被感染;僵尸网络将永远存在;未来可能还会出现针对虚拟化与云计算环境的攻击方式;当互联网上的所有信息,包括企业网络和社区网络(Facebook、Twitter等)都承载着对我们有用的信息时,当利益已成为一切罪恶的诱因,网络犯罪不可能消失,未来十年将是信息安全的黄金十年。

  作为国内IT安全市场中增长速度最快的一个子市场,IPS市场的未来十年生机无限。笔者认为,不断革新的产品技术,以及随需而变的产品策略,将推动IPS进入下一个黄金十年,IPS必然在产品形态、产品架构,以及应用模式等方面发生重大变革。

  趋于融合的下一代安全网关

  传统的安全网关在应对不断变化的混合型安全威胁,处理丰富的互联网应用时,已经显得力不从心,基于Botnet传播的安全威胁,新的Web 2.0应用,利用隧道技术的业务程序,都能够轻易绕开防火墙的封锁。

  笔者认为,未来将出现趋于融合的下一代安全网关——NGSG(Next Generation Security Gateway),面向安全威胁新趋势,专注于应用层防护的高性能安全网关,NGSG具有一系列特点,以适应未来3~5年的安全威胁防护趋势:?

  ◆标准的防火墙特性:具备包过滤、网络地址转换(NAT)、状态协议检查和VPN等基本功能;?

  ◆拥有较强的应用识别能力,不局限于端口和协议的识别,对于某些限制应用,如SSL加密会话,也能准确识别;?

  ◆深度融合入侵防御(intrusion prevention)、内容控制(content control)和URL过滤(URL filtering)等多种功能;?

  ◆基于用户身份(users by name)的会话识别和监控,而不仅仅通过IP地址进行判断;?

  ◆具备10Gbps以上的在线处理能力,不会影响业务系统的正常应用。

  在上述特性之中,应用安全防护是NGSG需要重点解决的问题。针对WEB、DNS、电子邮件、电子商务、VoIP和视频会议等各类应用的攻击监控,将成为未来应用安全防护的重点。

  IPS、UTM,亦或是防火墙,都将只是NGSG发展史上的阶段性里程碑,尽管它们在限定的细分市场内,仍将保持一定规模的增长,但最终必将殊途同归,在不久的将来成为融为一体的下一代安全网关。

  基于SaaS的安全威胁管理服务

  “安全问题的威胁日渐变得复杂,并且其规模和数量使得中小企业无法很好的应对。”RSA总裁亚瑟•科维洛认为云安全是2010年的关键趋势,“旧的管理安全服供应商只是为用户提供防火墙管理和虚拟专用网。这使我看到了新的外包服务即将诞生:人们需要更多的安全管制,但他们又无法很好的进行全面的管理。在这一基础上,形成了安全云外包服务,或者称为多重安全应用外包服务。”

  新的安全威胁总是孕育着新的市场机会。无论是国内中小型企业用户,还是全球范围内的企业级用户,在选择安全解决方案的时候,不仅要考虑方案的完整性和有效性,还要兼顾方案的总体拥有成本,他们需要的不再是单一的安全产品,而是更具成本效益、更方便透明的一体化安全服务。

  新的Security as a service(SaaS)模式应运而生,基于互联网为全球范围内的用户交付定制化的安全服务,这将打破传统的安全防护方法,用户依托这个平台,可以选择个性化的安全服务,例如基于IPS的安全威胁管理。从产品管理、运维,直至警报分析和解决方案建议,SaaS平台将提供一站式安全贴心服务。

  在不久的将来,这个平台还将为全球范围内的企业级用户,提供全面的“安全威胁管理”能力,以及“安全趋势分析”服务,而IPS/IDS则将成为依附于这个平台,同时不可或缺的重要组件。遍布于全球的IPS/IDS引擎首先将新出现的安全威胁发布到云安全平台,然后基于安全威胁分析引擎处理,形成新的解药,再快速部署到各个节点的IPS/IDS产品之中。同时,云安全平台还将依据实时的威胁信息,持续协助用户不断改进安全策略。

  随着IPS技术的日益完善、用户对IPS产品认知的逐步深入,国内IPS市场日渐成熟,未来这个市场都将是安全厂商重点发力的领域。随需而变的产品策略,使得IPS不断焕发新的青春,无论是作为独立的IPS产品,融合多种安全解决方案的IPS管理平台,还是为用户提供SaaS服务的IPS族群,未来的路都还很长。

  辉煌十年,不是终结,而是一个新的起点,作为绿盟科技全面拓展国际市场的一把利刃,NSFOCUS IPS进入国际顶尖产品行列之后,将面临更多的挑战。历经十年磨砺,当我们怀揣梦想,站在群山之巅的时候,我们已经准备好了…


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。