网络入侵防护(NIP)技术已经成为业界争论的焦点。一方面,有些专家指出,应将NIP技术合并到防火墙中去,NIP系统已经没有继续存在的必要;另一方面,NIP系统的供应商们承诺,NIP技术将会更加成熟和完善,对攻击的识别和拦截将达到百分之百的准确。本文将以一种中立的态度进行分析,因为NIP系统可能不会百分之百地保证网络不受攻击,但使用NIP系统也并非对时间和金钱的浪费。
相关调查显示,在为什么不使用NIP系统来过滤网络业务流的问题上,63%的人回答说他们使用防火墙。然而防火墙的设置很多都是静态的,管理员定义什么是可接受的网络业务流,然后利用防火墙的特点来实现其安全策略。事实上,错误设置的防火墙正是一般网络安全漏洞的根源。这一简单的事实被NIP销售商们用作推销产品的卖点。
NIP系统在可预见的未来也不会完全替代防火墙,这是因为其错误检测率的问题,错误检测率意味着拦截合法网络业务的可能性。要避免攻击,必须要检测攻击,但是NIP系统依赖于对入侵的检测,这在某种程度上是不科学的。正确设置的防火墙可以仅允许已定义的网络业务通过,而NIP系统目前还做不到这一点。
NIP系统可以分为两大类,特征比对入侵防护系统和异常探测入侵防护系统。特征比对入侵防护系统的工作原理是将通过的网络业务流与已知的攻击特征进行比对,如果匹配则认为该网络业务流可能为恶意攻击。异常探测入侵防护系统的工作原理是学习正常的网络业务流特征,当发现通过的网络业务流与正常业务流有较大变化时,发出警报并采取相应措施,这样可以有效地拦截诸如DoS和DDoS类型的攻击。
由于我们缺乏对服务器和台式机的必要安全控制,而且可能没有时间去维护应用程序的升级,再加上那些由于网络应用程序的设计或安装出现问题而导致的安全漏洞,这些才是我们使用NIP系统的真正原因。
(责任编辑:赵纪雷)
