IDS的進化IPS

IDS和防火牆在好幾年前對於網路世界來說是很好的妨駭工具

但在近幾年網路漏洞和駭客的猖狂

IDS變得似乎已經沒有那麼大的作用了

所以我在搜尋IDS資料時無意間發現了IDS的進化版IPS

中文全名為 入侵式防禦系統

IDS只能像sniffer一樣監聽流過的封包,當IDS發覺不正常流量,並發出警訊通報系統管理者的同時,病毒已
經攻陷了整各網域。而一般防火牆只能對OSI模型的2~4層的封包進行檢測,很多的惡意
程式都夾帶在應用層,例如利用「緩衝區溢位」的漏洞方式,也無法抵擋DoS、通訊協定
異常(protocol anomalies)、HTTP worm的攻擊。另一方面,IDS的過多誤判率也使得
系統管理人員必須浪費更多的精力去檢查,大大降低了效率。故一般的防火牆和IDS的防
禦架構已經無法抵抗技術越來越進步的駭客,而企業廠商也開始紛紛投入IPS的產品研發。
  
  IPS與IDS最大的不同在於IPS能夠在偵測到入侵的同時進行防禦;IDS在偵測到入侵或
疑似的入侵時都會將紀錄通報給安全專家來做決定,並且這都需要一些時間來做考慮,而
IPS就是將這些動作與以自動化的過程。IPS最大的特色就是「深層檢測(deep packet
inspection)」和「線型模式(in-line mode)」,IPS不但可以檢測一般防火牆檢測OSI
模型中的2~4層封包,並可以檢測5~7層的封包。攻擊主機、IPS、防火牆、被攻擊主機之
間就像一條線一樣,所有的封包必須先經過IPS的檢測,如果一旦發現有入侵閉立即丟棄
攻擊封包。

  在執行IPS時,IDS 存在的問題IPS一樣也有,首先就是誤判率,如果不能降低IPS的
誤判率,企業寧願選擇IDS再透過安全專家去做檢測,因為IPS會直接將封包直接丟棄,
形成另一種形式的「阻斷式服務」。再來就是網路流量的瓶頸,因為線型模式使得IPS必
須檢查每個流過的封包,如果IPS在速度上不能負荷,必定拖累整個網路的效能,甚至造
成封包開始漏掉。如果在誤判率和網路流量負荷皆有不錯的表現時,IPS必定是IDS的最
佳替代品。