正如当前人们所看到的那样,越来越多的厂商宣传自己的产品拥有的安全功能,使用了许多缩写词,如IDS(入侵检测系统)、NBA(网络行为分析)、IPS(入侵防御系统)以及防火墙等许多其它功能。
但是人们完全困惑了,究竟这些不同名称下的网络及安全产品有什么实际功效,其间又有哪些区别呢?
为了更好地理解入侵检测系统与网络行为分析的区别, Plixer公司共同创始人和首席技术官Marc Bilodeau就下列八个问题以及其它一些问题给出了专业解释:
1.什么是入侵检测系统(IDS)?
入侵检测系统一般在互联网连接上探测数据包。入侵检测系统用于检测试图偷偷进入网络和破坏一个计算机系统的安全和信任的恶意行为。这些恶意行为包括对有安全漏洞的服务实施的网络攻击、对应用程序实施的数据驱动的攻击、升级权限、非授权登录和访问敏感文件等基于主机的攻击以及恶意软件(病毒、木马和蠕虫)。一旦进入网络,病毒或者感染在发动恶意攻击之前能够在网络上活动几个星期。
2.定期更新入侵检测系统的恶意软件特征是不是也不能保持威胁库处于最新状态?
是的。病毒特征更新是有帮助的。但是,由于黑客不断发展自己肮脏的技术以突破最新的安全防御,企业永远不是完全免疫的。我们可以把病毒特征更新比作人类为了避免病毒感染每年向身体注射浏览疫苗。然而,流感疫苗永远不能阻止所有的病毒。
3.什么是网络行为分析?
网络行为分析是识别日常网络通讯流量中异常通讯方式的能力。简单地说,这是网络行业超越简单地阻止过量的网络通讯设置试图识别网络中的异常行为。观察到的最多的网络安全突破之一是称作拒绝服务攻击的异常通讯方式。拒绝服务攻击是对互联网服务提供商和大型网络基础设施的重大安全威胁。
4.什么是入侵防御系统(IPS)?入侵防御系统与入侵检测系统和网络行为分析有什么区别?
入侵防御系统一般与入侵检测系统和网络行为分析系统一起工作。入侵防御系统能够丢弃攻击的数据包,同时允许其它通讯流量继续通过。这项工作能够在交换机上很好地完成。交换机也进行网络行为分析。
Bilodeau指出,思科和惠普分别支持NetFlow和sFlow。但是,他们在没有NetFlow和sFlow功能的交换机上实施网络行为分析。
5.配置网络行为分析功能的系统如何帮助企业现有的入侵检测系统和入侵防御系统?
Bilodeau说,按照我的意见,网络行为分析系统可以看作是比入侵检测系统的前瞻性稍差一些的系统,其重点是互联网通讯。它可以安装在一个连接上并且像入侵检测系统一样检查数据包,或者利用NetFlow技术。我说前瞻性稍差一些是因为网络行为分析主要是识别已经在网络上发生的问题(如网络扫描或者正在进行的拒绝服务攻击)。网络行为分析试图捕捉入侵检测系统或者杀毒软件漏掉的威胁。网络行为分析设备解决偏离标准行为方式的网络通讯的异常行为。因为网络行为分析系统的重点是行为或者症状,因此分析引擎的更新没有入侵检测系统那样频繁。
6.那么,你需要什么:入侵检测系统还是网络行为分析?
如果你拥有一个网络入侵检测系统并且想知道是否应该添加一个网络行为分析系统,我的回答是:网络行为分析提供的额外的安全监视能够让企业受益吗?你像大多数企业一样担心内部威胁吗?
7.你能从哪里得到网络行为分析产品,这种产品多少钱?
网络行为分析设备最高的价格是Lancope和Mazu等新兴企业生产售价10万美元产品,价格较低的有Plixer International生产的6万美元的产品。如果你有兴趣使用NetFlow技术编写自己的网络行为分析产品,我建议你阅读Yiming Gong的一篇文章。在阅读那篇文章和认识到NetFlow的信息有限之后,你很难认为网络行为分析设备10万美元的价格标签是合理的。
8.网络行为分析和分析工具的价格为什么有这样大的差距?
Bilodeau说,我不知道为什么会有这样大的价格差距。但是,我知道一些风险投资公司很早就进入了网络行为分析市场。如果历史能够预测未来的话,随着更多的企业进入这个市场,网络行为分析市场会发生变化,设备价格将下降。
