入侵檢測系統(tǒng)與網(wǎng)絡(luò)行為分析有何區(qū)別

字號:

正如當(dāng)前人們所看到的那樣,越來越多的廠商宣傳自己的產(chǎn)品擁有的安全功能,使用了許多縮寫詞,如IDS(入侵檢測系統(tǒng))、NBA(網(wǎng)絡(luò)行為分析)、IPS(入侵防御系統(tǒng))以及防火墻等許多其它功能。
    但是人們完全困惑了,究竟這些不同名稱下的網(wǎng)絡(luò)及安全產(chǎn)品有什么實(shí)際功效,其間又有哪些區(qū)別呢?
    為了更好地理解入侵檢測系統(tǒng)與網(wǎng)絡(luò)行為分析的區(qū)別, Plixer公司共同創(chuàng)始人和首席技術(shù)官M(fèi)arc Bilodeau就下列八個問題以及其它一些問題給出了專業(yè)解釋:
    1.什么是入侵檢測系統(tǒng)(IDS)?
    入侵檢測系統(tǒng)一般在互聯(lián)網(wǎng)連接上探測數(shù)據(jù)包。入侵檢測系統(tǒng)用于檢測試圖偷偷進(jìn)入網(wǎng)絡(luò)和破壞一個計(jì)算機(jī)系統(tǒng)的安全和信任的惡意行為。這些惡意行為包括對有安全漏洞的服務(wù)實(shí)施的網(wǎng)絡(luò)攻擊、對應(yīng)用程序?qū)嵤┑臄?shù)據(jù)驅(qū)動的攻擊、升級權(quán)限、非授權(quán)登錄和訪問敏感文件等基于主機(jī)的攻擊以及惡意軟件(病毒、木馬和蠕蟲)。一旦進(jìn)入網(wǎng)絡(luò),病毒或者感染在發(fā)動惡意攻擊之前能夠在網(wǎng)絡(luò)上活動幾個星期。
    2.定期更新入侵檢測系統(tǒng)的惡意軟件特征是不是也不能保持威脅庫處于最新狀態(tài)?
    是的。病毒特征更新是有幫助的。但是,由于黑客不斷發(fā)展自己骯臟的技術(shù)以突破最新的安全防御,企業(yè)永遠(yuǎn)不是完全免疫的。我們可以把病毒特征更新比作人類為了避免病毒感染每年向身體注射瀏覽疫苗。然而,流感疫苗永遠(yuǎn)不能阻止所有的病毒。
    3.什么是網(wǎng)絡(luò)行為分析?
    網(wǎng)絡(luò)行為分析是識別日常網(wǎng)絡(luò)通訊流量中異常通訊方式的能力。簡單地說,這是網(wǎng)絡(luò)行業(yè)超越簡單地阻止過量的網(wǎng)絡(luò)通訊設(shè)置試圖識別網(wǎng)絡(luò)中的異常行為。觀察到的最多的網(wǎng)絡(luò)安全突破之一是稱作拒絕服務(wù)攻擊的異常通訊方式。拒絕服務(wù)攻擊是對互聯(lián)網(wǎng)服務(wù)提供商和大型網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重大安全威脅。
    4.什么是入侵防御系統(tǒng)(IPS)?入侵防御系統(tǒng)與入侵檢測系統(tǒng)和網(wǎng)絡(luò)行為分析有什么區(qū)別?
    入侵防御系統(tǒng)一般與入侵檢測系統(tǒng)和網(wǎng)絡(luò)行為分析系統(tǒng)一起工作。入侵防御系統(tǒng)能夠丟棄攻擊的數(shù)據(jù)包,同時(shí)允許其它通訊流量繼續(xù)通過。這項(xiàng)工作能夠在交換機(jī)上很好地完成。交換機(jī)也進(jìn)行網(wǎng)絡(luò)行為分析。
    Bilodeau指出,思科和惠普分別支持NetFlow和sFlow。但是,他們在沒有NetFlow和sFlow功能的交換機(jī)上實(shí)施網(wǎng)絡(luò)行為分析。
    5.配置網(wǎng)絡(luò)行為分析功能的系統(tǒng)如何幫助企業(yè)現(xiàn)有的入侵檢測系統(tǒng)和入侵防御系統(tǒng)?
    Bilodeau說,按照我的意見,網(wǎng)絡(luò)行為分析系統(tǒng)可以看作是比入侵檢測系統(tǒng)的前瞻性稍差一些的系統(tǒng),其重點(diǎn)是互聯(lián)網(wǎng)通訊。它可以安裝在一個連接上并且像入侵檢測系統(tǒng)一樣檢查數(shù)據(jù)包,或者利用NetFlow技術(shù)。我說前瞻性稍差一些是因?yàn)榫W(wǎng)絡(luò)行為分析主要是識別已經(jīng)在網(wǎng)絡(luò)上發(fā)生的問題(如網(wǎng)絡(luò)掃描或者正在進(jìn)行的拒絕服務(wù)攻擊)。網(wǎng)絡(luò)行為分析試圖捕捉入侵檢測系統(tǒng)或者殺毒軟件漏掉的威脅。網(wǎng)絡(luò)行為分析設(shè)備解決偏離標(biāo)準(zhǔn)行為方式的網(wǎng)絡(luò)通訊的異常行為。
    6.那么,你需要什么:入侵檢測系統(tǒng)還是網(wǎng)絡(luò)行為分析?
    如果你擁有一個網(wǎng)絡(luò)入侵檢測系統(tǒng)并且想知道是否應(yīng)該添加一個網(wǎng)絡(luò)行為分析系統(tǒng),我的回答是:網(wǎng)絡(luò)行為分析提供的額外的安全監(jiān)視能夠讓企業(yè)受益嗎?你像大多數(shù)企業(yè)一樣擔(dān)心內(nèi)部威脅嗎?
    7.你能從哪里得到網(wǎng)絡(luò)行為分析產(chǎn)品,這種產(chǎn)品多少錢?
    網(wǎng)絡(luò)行為分析設(shè)備的價(jià)格是Lancope和Mazu等新興企業(yè)生產(chǎn)售價(jià)10萬美元產(chǎn)品,價(jià)格較低的有Plixer International生產(chǎn)的6萬美元的產(chǎn)品。如果你有興趣使用NetFlow技術(shù)編寫自己的網(wǎng)絡(luò)行為分析產(chǎn)品,我建議你閱讀Yiming Gong的一篇文章。在閱讀那篇文章和認(rèn)識到NetFlow的信息有限之后,你很難認(rèn)為網(wǎng)絡(luò)行為分析設(shè)備10萬美元的價(jià)格標(biāo)簽是合理的。
    8.網(wǎng)絡(luò)行為分析和分析工具的價(jià)格為什么有這樣大的差距?
    Bilodeau說,我不知道為什么會有這樣大的價(jià)格差距。但是,我知道一些風(fēng)險(xiǎn)投資公司很早就進(jìn)入了網(wǎng)絡(luò)行為分析市場。如果歷史能夠預(yù)測未來的話,隨著更多的企業(yè)進(jìn)入這個市場,網(wǎng)絡(luò)行為分析市場會發(fā)生變化,設(shè)備價(jià)格將下降。