|
图2. IPS市场销售统计与预测(2003-2008)
在受益于IPS的优势和效益的同时,不少用户对于其弱点和不足,也能给与理解与宽容。大名鼎鼎的网络安区专家Mathias Thurman在IDC的《计算机世界》上写道,由于In-line安装,IPS设备的故障可能根本上阻断网络通信。因此,我们需要选择具有容错能力的IPS,即故障时能让通信畅通。我愿意承担短时期自我开放的风险,也不愿面临数以千计的雇员无法工作,损失收入和劳动生产率的局面。
正是由于IPS主动防御和易于管理的特性,致使其销售也正在突飞猛进。图2是来自于IDC的2003-2008年IPS销售额的统计与预测。从此图中可以看到,到2008年,IPS的销售额可高达11.8亿美元,比2005年增加将近一倍。
3.2 为何IPS不会立即取代IDS?
应该指出,到目前为止IPS尚未强大到足以取代IDS的地步,或者它根本不必要全面取代IDS就能拓展自身的生存空间。这是因为:
IPS尚难应对较为复杂的攻击。受检测技术、传输技术、芯片技术等多方面的约束,当前IPS能够解决的主要是准确的单包检测和高速传输的融合问题,对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效的检测和及时的阻断,而对于更为复杂的攻击就难于应对;
IPS的分析报告功能太弱。对于In-line的IPS来说,分析得越清晰准确,计算复杂度越高,传输延迟就会越大。美国网络世界实验室联盟成员Rodney Thayer认为,在报告、分析等相关技术完善得足以防止虚假报警之前,IPS不可能取代IDS设备。IPS可能将取代外围防线的检测系统,而网络中的一些位置仍然需要检测功能,以加强不能提供很多事件信息的IPS;。
IDS正在走向检测与访问控制相融合。一个不太准确的IDS,经过人工的分析可以变得准确;同样,经过大规模的IDS部署后的集中分析,以及和其他检测类技术的关联分析,可以获得更加精确的结果。根据全局性的检测结果就可以进行全局性的响应和控制。从宏观看检测和访问控制的融合是IDS的发展方向;
技术上的相互渗透和融合并非一定要在产品上取而代之。防火墙最主要的特征是通(传输)和断(阻隔)两个功能,并不对通信包的数据部分进行检测;IDS是一个检测和发现为特征的技术行为,其追求的是抓包不能漏,分析不能错,尽量降低漏报率和误报率。因此,防火墙、IDS和IPS一样在网络信息安全体系中可以各显身手,相辅相成。
共4页: 上一页 [1] [2] 3 [4] 下一页
|
