2012-10-08 15:26:27 来源:TechTarget中国
曾经入侵检测系统(IDS)和入侵防御系统(IPS)被认为是解决企业内部检测攻击的最佳方案。 但近来IPS/IDS技术被认为是过时,无效和无用的。而事实上它介于这两种极端观点之间。IPS/IDS技术是全面攻击和漏洞检测系统的重要组成部分,它们与其他类型的企业安全控制协同工作。
与10或15年前相比,IDS/ IPS技术并没有很大的改变,但也有重大的技术创新和改变,提高了检测能力。本文将会带给你IPS/IDS的最新技术,新功能和其他显着变化。
信誉服务
很多基于网络和基于主机的IDS和IPS产品最近都增加了信誉服务。这些服务已经在其他类型的安全控制中使用多年。信誉服务能收集域名,IP地址,应用协议,物理位置和计算活动的其他方面信息。然后,IPS/IDS系统利用这些信息来确定新的活动是否是是恶意的。此信息对提高确定IPS/IDS警报的优先级特别有价值。例如,IPS/IDS传感器可以对各类不寻常的活动发出警报,但是这些IP地址之一的其他恶意操作历史记录可能会提升它的分析优先级,因为它可能是有恶意的。
无线IPS/IDS的改进
无线IPS/IDS技术比其他形式的IPS/IDS技术都要先进。随着无线技术的发展,无线IPS/IDS技术正不断扩大自己的能力。例如,自从IEEE 802.11n传输标准确定后,大多数无线IPS/IDS技术已经增加了对此标准的支持。
不管企业是否支持无线设备,企业使用无线IPS/IDS都是一个很好的选择。如果企业支持无线,包括BYOD(自备设备),那么就更需要监控来避免网络配置错误和攻击。如果企业不准许使用无线技术,无线IPS/IDS仍然可以检测出未经授权的使用,甚至帮助企业自身找到哪里有无线。
企业应该充分利用企业移动设备管理(MDM)软件所提供的与无线IPS/IDS一样的性能。这样的软件越来越多地部署在企业内部,用来帮助企业管理智能手机,平板电脑和其他移动设备。
SSL加密流量的在线检测
随着HTTPS和其它加密协议应用的增加,网络IPS/IDS传感器普遍对检测网络流量已变得没有多大作用。然而,最近一些网络IPS/IDS产品增加了内网部署和检测SSL加密流量的能力。这些产品基本上就是充当一个代理,它建立了两个SSL的连接:一个从端点A连接到IPS/IDS传感器,另外一个从IPS/IDS传感器连接到端点B,从端点A到端点B就不是单一的SSL连接,而是通过传感器加密。事实上,这种设备可以对一个加密的数据包进行解密,检测,再加密,然后将其无显着延迟的发送。而且它也在连接中插入一个代理,代理自身是安全和可靠的。企业可能更倾向于使用基于主机的IPS/IDS而不是基于网络的IPS/IDS进行SSL加密流量检测。
虚拟环境中IPS/IDS的应用
云计算的兴起带来了对云安全技术的特性需求。值得庆幸的是,hypervisor(虚拟机管理器)是监控一个虚拟实例和不同虚拟实例间网络行为的好地方,更知名的叫法师内部检测。一些hypervisor主动提供自己的入侵检测技术,另外一些hypervisor可以把内部检测收集而来的信息传递到外部安全的控件,例如,标准的基于主机的IPS/IDS来检测和发出警报。企业要确保当一个虚拟实例从一个云服务器移到另一个时,其安全策略(包括IPS/IDS配置)也一并被转移。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。