siemens x
工業(yè)無線

IDS和IPS的比較

2025China.cn   2015年02月26日

  一、引言

  由于現(xiàn)在有了因特網(wǎng),網(wǎng)絡(luò)安保已經(jīng)成了工業(yè)企業(yè)最關(guān)注的話題。入侵檢測(cè)系統(tǒng)(IDS)用于檢測(cè)那些不需要對(duì)工業(yè)自動(dòng)化控制系統(tǒng)(IACS)訪問和操作,特別是通過網(wǎng)絡(luò)。它是一種專用工具,知道如何分析和解釋網(wǎng)絡(luò)流量和主機(jī)活動(dòng)。 IDS的主要目標(biāo)是對(duì)IACS網(wǎng)絡(luò)檢測(cè)入侵和入侵企圖,讓網(wǎng)絡(luò)管理員采取適當(dāng)?shù)木徑夂脱a(bǔ)救措施。IDS不會(huì)阻止這些攻擊,但會(huì)讓用戶知道什么時(shí)候發(fā)生了攻擊。

 

 

  此外,IDS把已知的攻擊特征和相關(guān)的活動(dòng)、流量、行為模式存儲(chǔ)到數(shù)據(jù)庫,當(dāng)監(jiān)測(cè)數(shù)據(jù)發(fā)現(xiàn)存儲(chǔ)的特征與當(dāng)前的特征或者行為非常接近時(shí),通過比對(duì)就可以識(shí)別出來。這時(shí),IDS能發(fā)出警報(bào)或警示,并搜集這些破壞活動(dòng)的證據(jù)。

  入侵檢測(cè)提供了一種識(shí)別的方法,因此可以對(duì)系統(tǒng)的攻擊進(jìn)行反應(yīng)。檢測(cè)到攻擊是一回事,阻止攻擊則是另一回事。這時(shí),最高等級(jí)的IT安保行動(dòng)是防止攻擊和可能的災(zāi)害;而IDS往往只能帶來一點(diǎn)點(diǎn)這樣的功能。因此,對(duì)入侵檢測(cè)系統(tǒng)功能的擴(kuò)展,就產(chǎn)生了入侵防御系統(tǒng)(IPS)。在當(dāng)前防御能力不足的情況下,驅(qū)動(dòng)了這一新的安全產(chǎn)品誕生,被稱為入侵防御系統(tǒng)。

  入侵防御系統(tǒng)是一種網(wǎng)絡(luò)安全設(shè)備,監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的活動(dòng),對(duì)惡意或有害的行為可以進(jìn)行實(shí)時(shí)反應(yīng),以阻止或防止這些活動(dòng)帶來的破壞。

  IPS是基于應(yīng)用內(nèi)容來決定是否能對(duì)IACS進(jìn)行訪問,而不是像傳統(tǒng)的防火墻,用IP地址或端口做決定。這種系統(tǒng)采用的是積極的防御機(jī)制,在正常的網(wǎng)絡(luò)信息流中檢測(cè)惡意數(shù)據(jù)包并阻止其入侵,看在任何損害發(fā)生之前自動(dòng)阻斷惡意流量,而不是簡單地提出警報(bào),或者在惡意的有效載荷已交付之后再動(dòng)作。

  二、入侵檢測(cè)系統(tǒng)

  IDS對(duì)網(wǎng)絡(luò)信息進(jìn)行分析,發(fā)現(xiàn)惡意活動(dòng)時(shí)就立即報(bào)警。在攻擊開始后他們一般都能夠發(fā)出特殊報(bào)文復(fù)位TCP連接,有些甚至可以與防火墻系統(tǒng)連接,馬上重寫防火墻的規(guī)則集。

  IDS有兩種基本類型,即特征型和啟發(fā)型。運(yùn)行在工作站上的IDS被稱為主機(jī)入侵檢測(cè)系統(tǒng)(HIDS),而那些獨(dú)立在網(wǎng)絡(luò)上運(yùn)行的設(shè)備被稱為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)。 HIDS利用其主機(jī)的資源,在主機(jī)上監(jiān)測(cè)信息流檢測(cè)攻擊。NIDS作為一種獨(dú)立設(shè)備在網(wǎng)絡(luò)上監(jiān)測(cè)信息流檢測(cè)攻擊。 NIDS也有兩種形式,特征型NIDS和啟發(fā)型NIDS。這兩種類型提供了不同程度的網(wǎng)絡(luò)入侵檢測(cè)。

  今天,我們可以按照IDS所監(jiān)視的活動(dòng)、流量、交易、或系統(tǒng)來區(qū)分IDS:

  · 監(jiān)測(cè)網(wǎng)絡(luò)連接和骨干尋找攻擊特征的IDS被稱為:基于網(wǎng)絡(luò)的IDS,而那些在主機(jī)上運(yùn)行,??保衛(wèi)和監(jiān)視操作和文件系統(tǒng)入侵跡象的IDS,被稱為基于主機(jī)的IDS;

  · 作為遠(yuǎn)程檢測(cè)并向中央管理站報(bào)告的IDS組,被稱為分布式IDS;

  · 一個(gè)網(wǎng)關(guān)IDS是一種網(wǎng)絡(luò)IDS,部署在內(nèi)部網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間,監(jiān)視進(jìn)出內(nèi)部網(wǎng)絡(luò)中轉(zhuǎn)站的信息流。

  · 側(cè)重于理解和分析特定應(yīng)用程序邏輯以及底層協(xié)議的IDS通常被稱為應(yīng)用IDS。

  按照事件分析方法也可以區(qū)分不同的IDS。有的IDS主要使用特征檢測(cè)技術(shù)。這與許多防病毒程序的方法類似,使用病毒特征碼(特征)來識(shí)別,并阻止受感染的文件、程序或活動(dòng)Web內(nèi)容進(jìn)入計(jì)算機(jī)。依靠當(dāng)前網(wǎng)絡(luò)流量和正?;顒?dòng)的差異發(fā)出入侵警告的IDS被稱為異常檢測(cè)系統(tǒng)(ADS)。這種類型的IDS通常捕捉來自網(wǎng)絡(luò)的數(shù)據(jù),對(duì)數(shù)據(jù)使用ADS規(guī)則檢出差異。

  漏報(bào)與誤報(bào)

  考慮組織機(jī)構(gòu)的首要安保指標(biāo)是NIDS檢測(cè)攻擊的準(zhǔn)確性和準(zhǔn)確性頻率。為了確定啟發(fā)型和特征型NIDS的準(zhǔn)確率,要對(duì)這些系統(tǒng)的漏報(bào)和誤報(bào)進(jìn)行統(tǒng)計(jì)。誤報(bào)與特征型NIDS相關(guān)。特征型NIDS需要把其數(shù)據(jù)庫中的特征與進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)特征進(jìn)行匹配。

  已知病毒和其他惡意代碼的特征放在數(shù)據(jù)庫中用于特征匹配。其結(jié)果,任何具有特征的攻擊可以被準(zhǔn)確地識(shí)別和檢出。不幸的是,新創(chuàng)建的惡意代碼或更改后的已知病毒使系統(tǒng)無法發(fā)現(xiàn),這被稱為漏報(bào)。這種缺點(diǎn)是特征型NIDS的缺陷,不具備檢測(cè)新型攻擊或改頭換面攻擊的能力。特征型NIDS還會(huì)誤報(bào)的情況是使用過時(shí)的惡意特征,可能會(huì)對(duì)一個(gè)新的良性應(yīng)用特征報(bào)警,這要到特征更新后才能消除。

  不同于特征型NIDS,啟發(fā)型系統(tǒng)的漏報(bào)率比較低。他們不依賴特征,使用統(tǒng)計(jì)和行為模式做為手段,所以能夠檢測(cè)到新型的惡意代碼。啟發(fā)型NIDS使用用戶、應(yīng)用和其他程序文件的行為模式開發(fā)正常和不正常的行為模式,然后用來檢測(cè)攻擊的發(fā)生。接著,系統(tǒng)內(nèi)用戶或程序的任何行為偏差將被檢出和標(biāo)記,然后產(chǎn)生一個(gè)報(bào)警。

  不幸的是,大多數(shù)報(bào)警都是良性的,誤報(bào)是導(dǎo)出的結(jié)果。例如,一個(gè)程序員具有系統(tǒng)各個(gè)方面的授權(quán),但通常處理的是程序文件,在訪問日志文件后,結(jié)果被標(biāo)記和報(bào)警,因?yàn)樗x了程序員的正常行為。高誤報(bào),這會(huì)導(dǎo)致系統(tǒng)管理員對(duì)啟發(fā)型NIDS有清楚的認(rèn)識(shí),檢查少則報(bào)警多。雖然,高誤報(bào)率是可以解決的。按照啟發(fā)型NIDS的結(jié)構(gòu),基于連續(xù)抽樣統(tǒng)計(jì)和行為模式細(xì)化進(jìn)行分析,可供使用的采樣數(shù)據(jù)容量越大,區(qū)分良性應(yīng)用行為與惡意應(yīng)用的行為偏差的能力就越強(qiáng)。

  三、入侵防御系統(tǒng)

  IPS已經(jīng)成為IT安保系統(tǒng)中的一個(gè)強(qiáng)大工具和重要組件。IPS是這樣一種設(shè)備:具有檢測(cè)已知和未知攻擊并具有成功防止攻擊的能力。

  IDS技術(shù)與IPS技術(shù)有一個(gè)重要的區(qū)別。IPS技術(shù)可以對(duì)檢測(cè)出的威脅進(jìn)行響應(yīng),通過嘗試防止攻擊。按照他們使用的響應(yīng)技術(shù),可分為以下幾類。

  1. IPS的響應(yīng)技術(shù)

  a. IPS可以阻止攻擊本身。它可以使攻擊的網(wǎng)絡(luò)連接或用戶會(huì)話終止,并阻止攻擊者的帳號(hào)、IP地址、或其他屬性。

  b. IPS可以改變安保環(huán)境。IPS可以改變安??刂频呐渲猛呓夤簟?/FONT>

  c. IPS可以改變攻擊內(nèi)容。IPS技術(shù)可以移去或更換攻擊的惡意部分,使其成為良性報(bào)文。

  2. IPS的方法

  IPS使用多種方法保護(hù)網(wǎng)絡(luò)。

  a.基于特征的IPS

  這是許多IPS解決方案中最常用的方法。把特征添加到設(shè)備中,可識(shí)別當(dāng)前最常見的攻擊。這就是為什么它也被稱為模式匹配IPS。特征庫可以添加、調(diào)整和更新,以應(yīng)對(duì)新的攻擊。

  b.基于異常的IPS

  它也被稱為基于行規(guī)的IPS。它試圖找出偏離工程師定義為正常的活動(dòng)。基于異常的方法可以用統(tǒng)計(jì)異常檢測(cè)和非統(tǒng)計(jì)異常檢測(cè)?;诓呗缘腎PS:它更關(guān)心的是是否執(zhí)行組織的安保策略。如果檢測(cè)的活動(dòng)違反了組織的安保策略就觸發(fā)報(bào)警。使用這種方法的IPS,要把安全策略寫入設(shè)備之中。

  c.基于協(xié)議分析的IPS

  它與基于特征的方法類似。大多數(shù)情況檢查常見的特征,但基于協(xié)議分析的方法可以做更深入的數(shù)據(jù)包檢查,能更靈活地發(fā)現(xiàn)某些類型的攻擊。

  3. IPS技術(shù)

  IPS基本上有兩大主流技術(shù),基于主機(jī)和基于網(wǎng)絡(luò)的。

  a.基于主機(jī)的IPS –HIPS

  HIPS見圖1所示,HIPS監(jiān)視單個(gè)主機(jī)的特性和發(fā)生在主機(jī)內(nèi)可疑活動(dòng)的事件。HIPS的例子可以是監(jiān)視有?線和無線網(wǎng)絡(luò)信息流、系統(tǒng)日志、運(yùn)行過程、文件訪問和修改、系統(tǒng)和應(yīng)用配置的變化。大多數(shù)HIPS具有檢測(cè)軟件,安裝在代理的主機(jī)上。每個(gè)代理監(jiān)視一臺(tái)主機(jī)上的活動(dòng),并執(zhí)行預(yù)防行動(dòng)。代理將數(shù)據(jù)傳輸?shù)焦芾矸?wù)器。每個(gè)代理通常用于保護(hù)服務(wù)器、臺(tái)式機(jī)或筆記本電腦、或者應(yīng)用服務(wù)。

  HIPS在要監(jiān)視的主機(jī)上安裝傳感器(sensor),這會(huì)影響主機(jī)性能,因?yàn)閭鞲衅饕馁Y源。

 

圖1:基于主機(jī)的入侵防御系統(tǒng)。

 

  b.基于網(wǎng)絡(luò)的IPS –NIPS

  NIPS如圖2所示,NIPS監(jiān)視特定網(wǎng)段或設(shè)備的網(wǎng)絡(luò)流量,并分析網(wǎng)絡(luò)、傳輸和應(yīng)用的協(xié)議,識(shí)別可疑的活動(dòng)。

 

圖2:網(wǎng)絡(luò)入侵防御系統(tǒng)

 

  除了傳感器,NIPS組件類似于HIPS技術(shù)。NIPS傳感器監(jiān)視和分析一個(gè)或多個(gè)網(wǎng)絡(luò)段上的網(wǎng)絡(luò)活動(dòng)。傳感器有兩種格式:設(shè)備傳感器,它由專門的硬件和軟件組成,并針對(duì)NIPS使用進(jìn)行了優(yōu)化;軟件傳感器,可以安裝到符合特定規(guī)范的主機(jī)上。

  代理部署到現(xiàn)有網(wǎng)絡(luò)上的主機(jī),這些組件通常用于網(wǎng)絡(luò)通信,而不是用于管理網(wǎng)絡(luò)。最常用的HIPS傳感器部署到關(guān)鍵的主機(jī),例如公開訪問的服務(wù)器和包含敏感信息的服務(wù)器,但他們也可用于各種服務(wù)器和臺(tái)式機(jī)/筆記本電腦的操作系統(tǒng),以及特定的服務(wù)器應(yīng)用。

  HIPS提供了多種安保功能。他們通常執(zhí)行大量相關(guān)事件日志數(shù)據(jù)的檢測(cè),可以檢測(cè)到多種類型的惡意活動(dòng)。采用的檢測(cè)技術(shù),包括代碼分析、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)流量過濾、文件系統(tǒng)監(jiān)視、日志分析和網(wǎng)絡(luò)配置監(jiān)視。使用一些檢測(cè)技術(shù)的組合的HIPS,一般比使用一個(gè)或幾個(gè)技術(shù)的產(chǎn)品具有精確的檢測(cè)能力,因?yàn)槊糠N技術(shù)可以監(jiān)視主機(jī)的不同特性。文件系統(tǒng)監(jiān)視可以防止文件被訪問、修改、替換或刪除,可以阻止惡意軟件的安裝和其他攻擊以及不適當(dāng)?shù)奈募L問。

  組織機(jī)構(gòu)應(yīng)該為他們的NIPS部署在可行時(shí)考慮使用管理網(wǎng)絡(luò)。除了選擇適當(dāng)?shù)木W(wǎng)絡(luò)組件,管理員還需要決定IPS傳感器的位置。傳感器可以以兩種模式之一部署:內(nèi)嵌傳感器部署,監(jiān)視的網(wǎng)絡(luò)流量必須通過他們;無源傳感器部署,他們監(jiān)視的是實(shí)際網(wǎng)絡(luò)流量的副本。

  四、結(jié)論

  入侵檢測(cè)系統(tǒng)IDS,對(duì)網(wǎng)絡(luò)信息流進(jìn)行分析,發(fā)現(xiàn)惡意活動(dòng)時(shí)生成警報(bào)。他們一般都能夠在攻擊開始后發(fā)出特殊報(bào)文復(fù)位TCP連接,有的甚至能夠與防火墻系統(tǒng)連接,在線重新編寫防火墻規(guī)則集。

  IDS的局限性是不能反擊網(wǎng)絡(luò)攻擊,因?yàn)镮DS傳感器基于數(shù)據(jù)包嗅探技術(shù),只能眼睜睜地看著網(wǎng)絡(luò)信息流過。IPS可執(zhí)行IDS相同的分析,因?yàn)樗麄兛梢圆迦刖W(wǎng)內(nèi),裝在網(wǎng)絡(luò)組件之間,而且他們可以阻止惡意活動(dòng)。

  這是IDS和IPS之間的最大差別,如何使用具有非常重要的意義。由于IPS傳感器需要流量流過,他們只能部署在網(wǎng)絡(luò)咽喉點(diǎn),而IDS傳感器可以提供更廣泛的網(wǎng)絡(luò)覆蓋。

(轉(zhuǎn)載)

標(biāo)簽:羅克韋爾自動(dòng)化 IDS 工業(yè)網(wǎng)絡(luò) 我要反饋 
2024世界人工智能大會(huì)專題
即刻點(diǎn)擊并下載ABB資料,好禮贏不停~
優(yōu)傲機(jī)器人下載中心
西克
2024全景工博會(huì)
專題報(bào)道