现在IDS有必要做么，是不是淘汰了？该做IPS？

joinbaijun

IPS是不是要求机器性能更高

chunyv

路过

wingjing

48楼的明显是被厂商忽悠到位了。 。。

cisp

呵呵，像模像样忽悠的人还真不少

blues1205

我认为，不论任何企业，网络安全都是在寻找一种利益与风险的最佳平衡点。产品的简单堆砌不是解决安全问题

根本办法，但安全的基础建设也是必须要迈出的一步。突然一下让全国人民都变成安全专家，也是不现实的。

IDS与IPS各有优势，需要根据自己的实际情况来选择。可以说IPS是一个发展的趋势，但其还需要不断的完善。

我认为单独的讨论产品的好坏，意义不是很大，除非针对某个特定的行业或项目。

以上是我的一些想法，欢迎拍砖。

33to9

其实IDS记录的数据是供人分析的.作为风险数据的一方面来源.对人的要求挺高的.然后通过人的角度进行加固或者进一步的安全管理.
IPS就是把这样的数据给机器分析.事情让机器来做.是很大程度弥补了一些低端IT管理人员水平的不足.但是远远达不到高端IT管理者的水平.
至于性能上的东西.我想是过于细节的东西了,IPS的串联也好.IDS的并联也好.其实只要不影响核心网的性能稳定.都是能接受的.慢点就慢点呗.
不过个人对于IPS的串联的感受是——确实是很初级的解决方案......

33to9

原帖由 unsword 于 2007-8-1 16:12 发表
没有看到一个真正懂IPS 与 IDS的人发言 。 楼上所有的讨论均为外行话语。

一些根本不懂IPS、IDS的人在讨论这2个东西的有点缺点，还有一些自以为很懂的人在忽悠人。

要弄明白什么是IPS，至少要在 FPGA、E ...

其实多串联一个设备.你的网络就多一分不稳定的风险.并联的设备风险系数永远是小于串联设备的.

发现这个贴的人竟然连版主在内的立脚点都不够高啊

zeroflag

看了半天，真的没有太专业的技术回复呀。估计这里面真正从事IDS/IPS研发的很少。本人水平不高，也就是个售前而已。我想抛开技术层面不看，单纯从IDS/IPS的实际应用角度说说我的看法。

1、从实际的应用效果来看，IPS其实是要远远高于IDS的。
这其实和技术无关，而是和客户有关。现在的客户了解安全的不多，能够正确配置防火墙的都没有几个，更加不要说能够理解IDS的报警，甚至熟练配置了。一般客户买回IDS头一个星期可能还有兴趣看一看，时间一长就连看都不看了。我见过一台IDS死机一年多，客户愣是不知道的情况。
在这个基础上，我们可以很容易看出IPS的优势在哪里，它的在线直接中断攻击的能力，其使用价值是远远高于IDS的。虽然IDS可以有与防火墙联动的方案，但是配置极其复杂，要一条一条IDS规则的配置，就我见到的情况，除了人民银行总行真的一跳一跳配置了联动规则以外，其他没有任何一个客户配置过，最多是在安装的时候，厂家工程师给客户演示一下就完了。更加不要IDS与防火墙联动根本不能防御注注入Sql Slammer这样的单包攻击了。

2、IPS的有效应用是什么
目前看来IPS最有效的应用其实是防范网络病毒的大规模传播。这是因为大规模传播的病毒所采用的攻击方式大多具有非常明显的特征，用IPS识别并阻断是非常有效的。我们某省公安厅的客户，在使用IPS之前，其病毒上传到公安国干网上的排名是前三，使用了IPS，排名变为了后三，这使得我们受到了客户的高度认可。这也是我见到过的IPS的最成功的应用。当然现在还有防毒墙产品，它在防病毒方面更加全面，但是从性能上看，防毒墙产品现在还远远达不到上骨干线路的要求。
另外，IPS的攻击防护虽然对绝大多数有预谋的高水平黑客来说，起不了太大的作用。但是对于“扫描器+攻击工具”的无目标的盲目攻击行为（比如当年用3389抓肉鸡）来说，还是具有很好的防御能力的。而我们现在见到的最大量的攻击恰恰是这种盲目攻击。

3、误报漏报问题
IDS、IPS从攻击的发现机制上来说，其实都差不多，最直接最有效的就是特征匹配。其他的方法都是辅助性的。因此对于误报问题的解决，关键是特征库本身的质量问题。同样用Snort引擎，高手写出的特征库和我写出的特征库误报水平肯定是天上地下。但是即使高手写出来的东西也是有误报的，IPS在这方面一般采用的是宁漏不误的策略，所以过分担心IPS误报会阻断正常应用大可不必，对于一些模糊的东西，IPS根本不报。这也是IPS相对于IDS日志要少很多的原因。当然这样也放过了攻击，不过如果是IDS就不放过攻击吗？
另外，IPS的漏洞大多针对系统漏洞，这些漏洞所使用的应用绝大多数和我们的业务系统没有关系。即使这样误报率依然没有敢保证是0，不会中断正常业务。具体如何，建议还是上线测试一下最保险。

4、关于性能问题
解决性能问题还是要靠硬件的发展，一个是多核CPU的应用，现在在某些32核的CPU上（非X86），不加IPS规则（也就是裸机性能）的小包已经可以做大8G了，加上1000条规则，性能基本下降10倍左右，也可以做到小包800M。（以上是我们公司RD内部测试的结果）这还只是单颗CPU的情况。
如果加上FPGA做加速（比如正则表达式的加速，底层快转等等），可以达到非常高的吞吐率和低延迟。不过这样成本会高很多。

以上是一个售前对IPS、IDS的看法。欢迎拍砖！

[ 本帖最后由 zeroflag 于 2008-3-11 12:22 编辑 ]

songpure520

顶一下！！楼上说的不错！！

neversmile

对于某些说法我不是很赞同
首先，对于ips栏病毒的问题，我觉得用ips作病毒探测不是一个很好的选择，至少在性能上是，病毒的事是应该交给AV去做的，很多病毒是基于文件的，ips对文件的检测能力是很有限的，因为涉及到文件重组，它应该更多的关注于对数据包的检查。ips能做的是当病毒利用漏洞传播的时候，阻断一下。
其次，对于ips规则的内容。其实系统漏洞总是有限的，大多数的ips规则还是针对web 攻击，这类攻击多而且多变，同时这类流量也是最多的，所以ips中关于web的，特别是关于server端的规则越少，性能也因该是越好的。
还有，关于误报和漏报的问题。虽然偏重于误报和性能，但如果要通过ICSA这样的认证，漏报也是不行的。就算是高手，写出的规则，也会存在误报风险的，比如很普通的ActiveX攻击的检测，你如何做到没有误报，有害的参数都是通过脚本动态生成的，你如何检测，而且ActiveX漏洞攻击现在越来越多，是凡ActiveX基本都有漏洞。
以上，我只是针对规则库方面说下自己的看法。