国外:跑步向前
两年前,Gartner认为“IDS已死”,提出用IPS(Intrusion Protection System,入侵保护系统)替代IDS。时至今日,IDS没有死,而IPS则在国外蓬勃发展起来,增长速度超过了IDS。根据来自Infornetics的数据,2005年第三季度,全球入侵检测和保护系统(IDS/IPS)产品收入1.85亿美元。Infornetics预测,到2007年,全球IDS/IPS产品收入达到9.32亿美元,2003~2007年复合增长率为21%。其中,在线式和主机式产品将支撑市场,而基于网络的传统IDS的销量将大幅下滑。
作为防火墙+IDS联动模式的替代者,IPS被认为相对于防火墙和IDS产品有着非常大的优势,是网络出口处安全防护产品的不二之选。IPS目前在国际上已经被广泛应用,并在很多地方已经全部取代了传统IDS和部分取代了防火墙的应用。
随着产品的不断发展和市场的认可,有越来越多的产品具有了IPS的功能,由于其定位不同,逐渐形成三大集团。
第一集团是入侵检测/保护厂商。他们对入侵检测/保护技术有深入研究,比较典型的厂商和产品代表有ISS公司的Proventia系列、McAfee公司的IntruShield系列产品和绿盟公司的冰之眼NIPS产品。
第二集团是集成网关厂商。他们基于防火墙的网关访问控制能力,在网关中加入多种功能模块,其中很重要的一个就是IPS功能。代表产品有NetScreen公司的IDP产品、SonicWALL公司的IPS产品、安氏公司的LinkTrust Border Protector产品、启明星辰与港湾网络合作开发的天清汉马防火墙等。
第三集团是负载均衡厂商。他们基于对TCP/IP协议的七层分析,在其负载均衡产品中加入对某些攻击的防御模块,比如TopLayer公司的Attack Mitigator IPS系列产品、Radware公司的SynAPP产品。
国内:边看边走
与国外市场的火热形成鲜明反差的是,国内的IPS市场仍是一副不温不火的态势。国内业界由于对这类安全产品接触的较少、认知不同,对于攻击误报、串接方式、运行效率等问题还存在疑问,一直处于争论观察期。
对于目前国内市场上的IPS产品,行业用户在选购时总会存在着以下的一些顾虑:
1、由于IPS产品是网络出口处的串联设备,又集成了传统的入侵检测和防火墙的功能,如果没有十分强大的处理能力,那么部署这样的安全产品必将是以牺牲网络性能为代价的。这也是一些UTM产品始终无法被用户所接受的原因。
2、传统的入侵检测产品往往都有着很高的误报率,当它并联在网络中的时候,这样的误报起码不会影响网络的正常运行,但如果将它串联在网络上,一个不必要的误报可能就会令网络无法运作,虽然增加了安全性,但却很可能会降低网络的使用效率。
3、还有很重要的一点,就是目前国内市场的IPS产品几乎都是国外的产品或者是OEM国外的产品,作为网络出口处一个重要的安全产品,如果没有自主的核心技术,对于政府、金融、大型国有企业等涉及国家敏感信息的行业是根本不能够接受并使用的。而且,自主研发的产品也可以为快速引入最新的入侵检测技术、定制符合中国国情、企业特定需求的功能提供保障,国外的产品是无法做到这一点的。比如对国内的网游端口,国外的产品就不会考虑进行监控。
对于用户的考虑,网络安全专家给出了一些建议。首先,完全拥有自主知识产权的国产IPS产品已经上市;其次,目前的IPS产品已经较好地解决了误报、效率等问题。专家认为,中小企业将是IPS产品的一个主要购买群体,因为IPS内置了防火墙,中小企业仅需购买IPS,就可以以较低的投入实现较高的安全性。
相关链接
IPS发展历史
2000年:Network ICE公司在2000年9月18日推出了业界第一款IPS产品—BlackICE Guard,它第一次把基于旁路检测的IDS技术用于在线模式,直接分析网络流量,并把恶意包丢弃。
2002~2003年:这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可,欧美一些安全大公司通过收购小公司的方式获得IPS技术,推出自己的IPS产品。比如ISS公司收购Network ICE公司,发布了Proventia;NetScreen公司收购OneSecure公司,推出NetScreen-IDP;McAfee公司收购Intruvert公司,推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。
(T111)
