由Napatech营销副总裁Dan-Joe Barry撰写

互联网仍在发展,并且我们确实开始从入侵检测系统(IDS)过渡到入侵防御系统(IPS)–部分原因是IPS技术可以扩展以满足用户在网络中的需求。未来。在这种背景下,我'd希望了解IPS的独特功能,以及如何提高这些系统的性能以跟上带宽前沿的不懈发展。

尽管许多IT安全专业人员将IPS视为IDS技术的自然扩展,但真正的答案是IPS实际上是另一种类型的访问控制机制,而不仅仅是IDS的姊妹IT安全平台。您可能会惊讶地发现,IPS一词实际上比IDS还要年轻,它是一个俗称,是由主要IT安全供应商的技术顾问Andrew Plato所使用,早在1990年代后期就发展了该行业的第一个IDS平台。

IPS以其最纯粹的形式,根据应用程序的内容做出许多访问控制决策,而不是采用监视IP地址,端口和其他连接链路的传统防火墙方法。早在1998年,安德鲁·普拉托(Andrew Plato)认为,好的IPS应该具有复杂的分析引擎,但该引擎应尽可能减少误报。他当时说,如果是这种情况,那么一个好的IPS具有优于IDS的许多优势,因为它可以与IP流量保持一致并实时分析数据流。

此外,大多数现代IPS解决方案还具有分析第7层协议(例如FTP,HTTP和SMTP)的能力,并且即使数据是加密的,也可以根据需要决定是允许还是隔离IP数据包。但是今天'的IPS平台能够完成现代IT环境所需的高速扫描IP流量的任务?

IT专业人员面临的问题是,随着Internet每年以40%到60%的速度增长(资料来源:Atlas Internet天文台)(在移动数据爆炸的背景下),重要的是IPS技术能够跟上这一数据带宽的增长,而不会成为网络的瓶颈。

越来越明显的是,在当今的典型网络中,用户在10G多端口系统的每个端口上都承受了很大的负载,同时,还有可用的IPS产品能够支持多个10 Gbps端口拓扑,这些端口上连续的10 Gbps吞吐量是一个挑战。此开发最令人担忧的部分是如何扩展IPS平台以满足40G和100G IPS技术的需求,这些技术将在未来几年引入到IT /网络组合中。

直到几年前,人们还可以说IPS平台可以胜任这一任务,特别是因为大多数IPS平台采用了核心的五阶段实时分析过程,该过程分多个阶段进行,因为在监视时遇到各种IT威胁一个组织'流入和流出IT资源的数据流。

•第一步是限制所有可疑IP流量的带宽,以提供给组织'的IT安全软件可以分析数据流–让'以电子邮件流为例-并实时处理可疑消息和/或附件。

•如果发现数据可疑,但不符合已知的感染特征,则第二阶段用于消息'要分析的标头,如果发现感染等,则可以隔离数据。

•分析过程的第三阶段涉及执行用户管理和地址验证,通常是通过应用许多自动检查来验证消息是否来自以前已知为危险的来源。

•第四阶段涉及对已通过前三个分析阶段但未通过召集的任何可疑事物应用反恶意软件和反黑客分析引擎。

•第五阶段,通常包括使用分析引擎清除所有仍可疑的信息,以供相关IT安全人员稍后进行手动分析。

但是,恶意软件的复杂程度不断提高,加上越来越多的犯罪黑客兄弟会采用递归和混淆的编码方法-当然,当今网络系统的网络速度也越来越高-意味着IPS系统必须承受不断增长的压力,不仅在处理数据量方面,而且还具有运行更复杂算法的原始能力。

那么,入侵的威胁有多严重? Napatech最近进行的一项在线民意调查发现,四分之一的受访公司遭受了网络入侵。在我们的一项在线活动中,超过300名参与者进行了互动调查,发现25%的受访者经历了入侵事件,其中44%的事件是在过去12个月内发生的。

在这里要意识到的重要一点是,网络入侵事件不仅是IT联网初期的烦人事件,而且还可能造成商业损失。这是因为,与'altruistic'1980年代-昔日的黑客通常是工程师,他们还可以访问访问其他企业的在线资产所需的拨号调制解调器,专业知识和其他IT资源-当今,大多数攻击是由高度复杂的犯罪组织,试图窃取数据或劫持计算资源以供非法使用。

纳帕泰克(Napatech)在线调查结果得到了普华永道(PricewaterhouseCooper)赞助的一项调查的证实,该调查的详细信息在最近在伦敦举行的Infosecurity Europe展会上宣布。该调查显示,去年有83∞个较小的组织经历了一次安全事件,而两年前为45%。普华永道/信息安全调查还显示,所有组织中有90%的组织增加了对IT安全技术的支出,而小型企业现在将10%的IT预算用于安全性问题,而两年前这一比例为7%。

该报告部分归因于企业内部对云计算和社交网络使用的增加。深入研究后发现,有15%的大公司表示IPS系统面临承受压力的压力,无论是在处理数据量方面,还是在拥有运行更复杂算法以确保其IT资源已被访问的原始能力方面在过去的12个月中,有未经授权的局外人入侵,有25%t遭受了拒绝服务攻击,是两年前进行的上次调查的记录的两倍。

该报告还发现,在过去两年中,采用新技术的速度有所加快,大多数受访者现在都在使用无线网络,远程访问和VoIP技术。另外,允许员工远程访问其系统的组织数量也有所增加,现在大约有90%的大型公司提供此功能。这些数据证实了我们的Napatech在线民意调查已经步入正轨,并且入侵事件的数量肯定还在增加。反过来,这也迫使大多数组织增加在安全技术上花费的IT预算的比例。

企业不仅在增加IT安全预算,而且在安全策略方面也正在提高自己的实力。在这种情况下,当前的主要挑战是扩展这些系统,以适应电子邮件和网站上内容越来越丰富,越来越多的视频和电话会议以及向云计算过渡的带宽增长。

要意识到的重要一点是,所有这些创新服务都为黑客提供了一种新型的高速攻击途径。因此,网络安全系统需要实时做出反应以解决问题。为了满足这些高速实时需求,网络安全设备供应商的传统方法一直是投资开发定制的专有硬件。

但是,出现了一种新方法,其中使用了现成的标准PC服务器硬件,从而消除了对硬件开发的需求。 Napatech调查显示,使用的大多数网络安全设备仍基于专有硬件,但是对于每3个专有系统,现在有2个基于标准PC服务器硬件的系统。

过去,PC服务器的功能不足以满足IPS等安全应用程序的需求,但是最新一代的PC服务器提供了强大的处理能力和强大的性能提升路线图。

我们的研究人员发现,使用标准的PC服务器硬件构建网络安全设备变得更加经济,例如,使用Napatech自己的智能实时网络分析适配器来确保高水平的性能。

但是,考虑使用此方法的最令人信服的原因之一是扩展性能的能力。在今年的各种重要IT事件中,Napatech展示了基于并行运行的标准SNORT应用程序的八个实例的全吞吐量10Gbps IPS系统。该技术利用了现代PC服务器中可用的多个CPU内核。 Napatech最多可支持32个CPU内核,因此,随着内核数量的增加和每个内核功能的增强,扩展性能的能力也随之增加。

确实,值得注意的是,英特尔和AMD等CPU芯片制造商将其芯片的性能每年提高多达50%。专有网络安全设备的供应商可以跟上这种性能路线图吗?尝试甚至有意义吗?如果您在Napatech上问我们,我们将告诉您重新考虑的时候到了。 

*本文引用的在线Napatech网络研讨会录像可在以下网站找到: http://bit.ly/9CmM6M (需要注册)。 www.napatech.com