移动安全 安全管理应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用案例 >

绿盟科技陈星霖:十年回望之入侵检测与防御

时间:2013-03-11 15:09来源: 点击:
绿盟科技陈星霖:十年回望之入侵检测与防御
Tags绿盟科技(26)陈星霖(2)入侵检测(69)  

  2010年3月31日,绿盟科技对外宣布,其防御系统(NSFOCUS)顺利通过国际权威机构NSS Labs的严格测试,荣获NSS Labs Approved认证,并且被NSS Labs认定为最高级别“Recommended”产品,在此之前仅有三家顶尖国际安全厂商的IPS得到过NSS Labs的鼎力推荐。历经十年磨砺,NSFOCUS IPS实现跨越,进入国际顶尖的产品行列。

  十年前,诸多安全公司选择了产品作为进入国内安全市场的第一款安全产品;十年后,大浪淘沙,业内知名的IDS产品并不多了,这十年发生了什么?未来十年又会怎样……

  过去的十年

  冰冻三尺非一日之寒,不论哪个产品,如何在十年的竞争中获得优势,一定与其在这个领域的执着和专注是密不可分的。

  市场萌芽, IDS产品成为安全市场的敲门砖

  2000年至2004年期间,各种大肆爆发,红色代码、尼姆达、冲击波,震荡波此起彼伏,它们的各种变种程序更是层出不穷,在上任意肆虐。面对上述基于正常端口工作的蠕虫,传统的(Firewall)显得束手无策,而入侵检测系统(IDS)则能够利用这些蠕虫病毒的攻击特征,进行检测和预警,这使得IDS一时名声大噪,各大安全厂商争先恐后涌入IDS市场。

  就在国内IDS市场刚刚萌动的同时,国际安全厂商在海外酝酿一场新的技术变革。2000年9月18日,Network ICE第一次将pass by的IDS技术用于pass through模式,在线部署的BlackICE Guard产品,通过分析网络流量,直接丢弃恶意数据包,这也是入侵防御系统(IPS)的最早雏形。为了抑制当时较为泛滥的拒绝服务攻击(D.o.S),早期的IPS产品都带有一定抗拒绝服务攻击能力,部分网络厂商、负载均衡厂商借此机会跻身IPS市场,从而使得早期的IPS市场较为混乱。

  绿盟科技是国内最早进入IDS市场的安全厂商之一,凭借对入侵检测市场的深刻理解,以及多年来在安全领域的深耕精作,绿盟入侵检测系统(NSFOCUS IDS)自2001年上市以来,就一直代表着业界IDS的最高水平,持续多年直至今日,该产品仍牢牢占据着国内IDS市场的领导者地位。

  2004年,NSFOCUS IDS做出重大技术变革,在绿盟科技特别定制的安全之上,NSFOCUS IDS的引擎架构经过重新设计,检测技术由单包模式匹配,全面进化到完全的状态检测与深入的协议解码。同时,系统的稳定性和处理性能得到极大提升。由此形成的系统主体框架一直沿用到现在,这也成为了今后NSFOCUS IPS所采用的基本系统架构。

  图1 早期的NSFOCUS IDS产品图片

  “IDS已死?”,IPS粉墨登场!

  随着互联网的普及,公司之间的联系比以往更加密切,更多的生产系统,以及运营体系逐渐向互联网迁徙,在发展或提高生产力的同时,安全成为企业尤为关注的重要环节。防火墙和IDS在面对趋于复杂的混合性安全威胁时略显苍白,企业迫切需要一种能够积极、主动应对不断变化的安全威胁,有效控制各类网络安全风险的产品,IPS再次引起人们的关注。

  IPS将入侵检测技术应用到串联网络之中,旨在第一时间对所有出入企业网络的流量进行深度分析和检测,实时阻断攻击。基于其高效的处理性能和精准的检测效率,IPS重新诠释了网络安全的定义,并从根本上改变了人们保护网络架构和应用系统的方式。

  区别于防火墙和IDS,IPS具有更精准的检测率和更有效的执行力,能够实现对整个报文流直至应用层的全面检测和保护。系统融合多重检测机制,通过应用状态防火墙、智能协议分析、异常检测、状态签名、关联分析,以及行为建模等多种方法,以确保能准确识别入侵,并在损失发生之前精确拦截攻击,从而持续净化互联网和内网的流量。

  图2 入侵防御系统和传统安全产品的区别

  因为IPS能够完全取代IDS,并提供IDS所不具备的关键功能,使得IPS产品逐渐成为国内市场上一个新的热点。然而,早期的国内IPS市场充斥着传统国际IPS厂商的身影,多数国内安全厂商却仍在为IDS和IPS孰是孰非,为Gartner的“IDS is dead”论调争论不休。直至2005年9月,绿盟科技正式推出了国内第一款IPS产品 —— 绿盟入侵防御系统(NSFOCUS IPS),终于打破国际IPS厂商一统天下的局面。

------分隔线----------------------------

推荐内容