IPS可以被视作是增加了主动阻断功能的IDS,它不仅仅是增加了主动阻断的功能,而是在性能和数据包的分析能力方面都比IDS 有了质的提升。但是,IPS在国内却没有受到渠道和用户的追捧,陷入尴尬境地。原因何在?
IPS国内面临尴尬
IPS可以被视作是增加了主动阻断功能的IDS,它不仅仅是增加了主动阻断的功能,而是在性能和数据包的分析能力方面都比IDS
有了质的提升。但是,IPS在国内却没有受到渠道和用户的追捧,陷入尴尬境地。原因何在?
有些渠道认为,从产品定位角度来看,IPS被用户看成是集成了防火墙功能的IDS产品,产品定位应该是SMB客户,因为大客户更倾向于功能单一,而且是性能超强的安全产品。但目前SMB购买更多的是防火墙产品,即使有SMB客户购买了IPS,也是因为里面集成的防火墙功能吸引了他们。IPS产品的客户群体无疑被局限在一个特定的范围(即没有购买防火墙的用户)里面。
上述可能会和国内渠道对IPS产品定位有关。此外IPS在国内推广不利还有最为关键的因素,那就是产品特性不够鲜明,尤其体现在解决精度、实时反应、速度、可靠性和可用性等方面。
在精度上,现有多数产品检测精确程度很低,具体表现在检测机制太少,可以解析的协议数量达不到要求;在实时反应和速度上也一直为用户所担忧:和带外连接的IDS不同,IPS更多是采用串联在交换机和路由器之间的带内连接方式,所有的流入流出数据全部通过IPS进行检测,并且根据产品制定规则通过或者阻隔。现在很多IPS在反应速度无法满足大数据量及时检测要求,进而影响到整体数据通信性能,最终成为公司网络瓶颈。还有的情况就是,一些攻击可能就没有被检测出来,因为IPS无法处理所有的数据流。另外,系统也可能产生过度的误动,因为错误的发现了很多协议冲突。可靠性和可用性也一直是目前多数IPS产品的软肋。
StoneGate规避风险
Stonesoft推出的StoneGate IPS产品主要由IPS 传感器节点(捕捉网络数据流以及初始分析)和IPS 分析器
(关联分析,并处理来自传感器、分析器以及其它接口兼容设备上报的事件信息)构成,在解决精度、实时反应、速度、可靠性和可用性方面表现突出,使得渠道?在选择IPS产品时候把风险降到最低。
在解决精度方面,StoneGate IPS 组合了许多强大的检测方法, 这些方法可以是系统管理员定义的规则,StoneGate还引入了事件智能关联分析。此外,StoneGate还改进了一些检测方法,譬如上下文敏感,基于指纹的正则表达,以及可配置的协议检视模块。这样,对于真实的攻击威胁可以很容易的采取相关动作,几乎没有任何手工劳动会浪费在分析那些错误告警上。
StoneGate IPS
传感器策略是依据传感器规则基础而定义的,规则基础定义了单个检视代理的数据流检视顺序。传感器所有的检视都由检视代理完成。除了定制参数,检视代理还包括了它一套上下文敏感的指纹集合,主要用于检测特殊应用的攻击。这将进一步缩减误动的数目。
StoneGate IPS 包含了一整套特殊协议检视模块. 为了使系统能够更好的适应各种不同的环境,Stonesoft
提供了一些最典型的应用提供了相应的检视代理。此外,当协议发身了变化,或者有新的协议成为标准时,Stonesoft 会提供更新的检视模块。此外,上下文敏感指纹在StoneGate
IPS中使用“正则表达式”的方式进行定义。“正则表达式”使得指纹定义所必须具有的灵活性特点具有了可行性。因为采用了指纹模式识别技术,检视代理中的上下文敏感指纹进一步减小了误动的数目。
对于一些已知的攻击,StoneGate IPS已经包含了足够的系统指纹.用户可以对它们进行任意组合,以找到和某种数据流相匹配的组合。所有的系统指纹都是开放的,所以对他们进行彻底的评估并用于定制的指纹模板。可以使用StoneGate IPS 指纹编辑器建立一个定制的指纹。Stonesoft定期提供指纹更新,以确保系统的指纹库是最新的。
StoneGate IPS 分析器自动通过关联分析并对那些来自不同源头的事件做出处理. 事情一般都是来自传感器,但是也可能来自其他的一些分析器,此外,分析器也能够处理来自一些兼容设备的事件。分析器会对那些可疑事件作深度检查,通过关联事情分析,以检测其趋势以及决定其重要性,同时丢弃不相关的事件。所有这些都改进了事件信息的质量,缩减了耗时的手工分析。
伴随着StoneGate IPS的是一个预先定义好的分析器系统策略。如果有需要,分析器策略可以通过使用一个图形用户接口进行配置。配置模块通过过滤器将输入的事件连接到一套分析模块,并最终到达响应模块. 分析模块的设置也是可配置的。
在响应方面,该产品包含有不同的响应机制,包括消息日志、连接记录、IP黑名单、TCP连接中断、丢包以及连接丢弃和告警等多种机制。
在速度和可靠性方面,StoneGate IPS
采用了嵌入式的传感器集群以及负载均衡技术,在绝大多数苛刻环境下,该方法改进了系统吞吐量以及高可靠性。通过将传感器节点形成集群,一个单一的传感器不必处理所有的数据流,因为数据流是分布在集群的所有的节点上的。此外传感器拥有一个集成的操作系统,其内部架构具有很高的性能和健壮性,除此之外,并行采用的指纹评估以及上下文敏感也使得传感器性能得到优化。
网友评论