IDS和IPS 企业如何作出正确选择?

业内关于IDS和IPS的讨论持续以久，Gartner副总裁Richard Stiennon在03年发表的《***检测将亡 ***防护前途看好》引发安全业界的巨大震动，至今用户在考虑企业安全方案的时候，仍然会问究竟是选择IDS仍是IPS。06年IDC年度安全市场报告指出IDS和IPS是两个独立的市场，至此IDS和IPS有了一个明确的定位。

可是不得不认可对于用户而言，选择IDS仍是IPS仍然是个头疼的问题。笔者觉得IDS和IPS分别是两种不一样做用的安全产品，或者说侧重点是不一样的。笔者并不赞同IPS的出现能够替代IDS的地位，就仿佛行为检测技术的出现，仍然须要成熟的特征码检测做为依据同样。

认识***检测IDS（Intrusion Detection System）
IDS的核心功能是对各类事件进行分析，从中发现违反安全策略的行为。从技术上讲，***检测分为两类：一种基于标志（signature-based），另外一种基于异常状况（anomaly-based）。

对于基于标识的检测技术来讲，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。而基于异常的检测技术则是先定义一组系统“正常”状况的数值，如CPU利用率、内存利用率、文件校验和等，而后将系统运行时的数值与所定义的“正常”状况比较，得出是否有被***的迹象。这种检测方式的核心在于如何定义所谓的“正常”状况。

两种检测技术的方法、所得出的结论有很是大的差别。基于标志的检测技术的核心是维护一个知识库。对于已知的***，它能够详细、准确的报告出***类型，可是对未知***却效果有限，并且知识库必须不断更新。基于异常的检测技术则没法准确判别出***的手法，但它能够（至少在理论上能够）判别更广范、未知的***。

不得不认可IDS存在一些致命的缺陷，甚至有人认为IDS只报警不采起措施的方式不能保证网络的安全，但笔者认为这种说法是片面的，因为IDS的检测种类方式各不相同，因此不能简单的说只检测就不能有效的抵御网络***。所以笔者建议若用户仅仅关注网络安全情况的监控，只需在目标信息系统中部署IDS便可，配以优秀的网络管理人员，就能够解决遇到的大多数安全异常情况。

 

 

 

认识***防护系统IPS（Intrusion Prevention System）
***防御系统 （IPS） 则倾向于提供主动防御，其设计宗旨是预先对***活动和***性网络流量进行拦截，避免其形成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是经过直接嵌入到网络流量中实现这一功能的，即经过一个网络端口接收来自外部系统的流量，通过检查确认其中不包含异常活动或可疑内容后，再经过另一个端口将它传送到内部系统中。

 

 

IPS实现实时检查和抵御***的原理在于IPS拥有数目众多的过滤器来防止各类***。当发现一种新的***手段时，IPS就会建立一个相应的过滤器。IPS数据包处理引擎是专门定制的集成电路，能够深层检查数据包的内容，若是有***者利用数据链路层至应用层的漏洞发起***，IPS可以从数据流中检查出这些***并加以阻止。

 

传统的防火墙只能对网络层或传输层进行检查，不能检测应用层的内容。全部流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。经过检查的数据包能够继续前进，包含恶意内容的数据包就会被丢弃，可疑的数据包须要接受进一步的检查。

 

针对不一样的***行为，IPS须要不一样的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义十分普遍。在对传输内容进行分类时，过滤引擎还须要参照数据包的信息参数，并将其解析至一个已知的环境中进行分析对比，以提升过滤准确性。

 

IPS的过滤器引擎集合了流水做业和大规模并行处理技术，并行过滤处理能够确保数据包可以不间断地快速经过系统，不会对速度形成影响。这种硬件加速技术对于IPS具备重要意义，传统的软件解决方案必须串行进行过滤检查，会致使系统性能大打折扣。

如此完善的检测你是否会心动呢？可是IPS 仍然面对不少挑战，其中主要有：单点故障、性能瓶颈、误报和漏报。IPS的设计原理要求必须以嵌入模式工做在网络中，这就可能形成瓶颈问题或单点故障。若是IDS 出现故障，最坏的状况是形成某些***没法被检测到，而嵌入式的IPS设备出现问题，就会严重影响网络的正常运转。若是IPS出现故障而关闭，用户就会面对一个由IPS形成的拒绝服务问题，全部客户都将没法访问企业网络提供的应用。

即便 IPS 设备不出现故障，它仍然是一个潜在的网络瓶颈，不只会增长滞后时间，并且会下降网络的效率，IPS必须与数千兆或者更大容量的网络流量保持同步，尤为是当加载了数量庞大的检测特征库时，设计不够完善的 IPS 嵌入设备没法支持这种响应速度。大多数高端 IPS 产品供应商都经过使用自定义硬件（FPGA、网络处理器和ASIC芯片）来提升IPS的运行效率。

误报率和漏报率也须要IPS更好的关注。网络当中，一旦生成了警报，最基本的要求就是IPS可以对警报进行有效处理。若是***行为特征码不是十分完善，那么“误报”就有了可乘之机，合法流量也有可能被意外拦截。对于实时在线的IPS来讲，一旦拦截了“***性”数据包，就会对来自可疑***者的全部数据流进行拦截。

 

若是触发了误报警报的流量刚好是某个客户重要信息（订单、交易信息等）的一部分，其结果可想而知，相应的客户整个会话就会被关闭，并且此后该客户全部从新链接到企业网络的合法访问都会被IPS拦截。

 

IPS厂商为了应付这些难题，每每综合采用多种检测技术或采用专用硬件加速系统来提升IPS的运行效率。甚至有些IPS厂商的基于网络的***防御设备提供多种接入模式，其中包括旁路接入方式，在这种模式下运行的IPS实际上就是一台纯粹的IDS设备。这些疑虑也不是不可解决的，安全厂商正在努力提升本身的技术力量来克服种种困难，在须要严格保证安全的网络中使用IPS设备也不失为一种好的方式。

 

综述
IDS和IPS在网络的安全应用中都起着十分重要的做用，任何产品的开发都是围绕着核心产品价值展开，安全领域的核心价值就是保证网络的高度安全。所以IDS必须可以全面检测网络中各种安全事件，也就是说检测的全面性是考量IDS产品优劣的主要标准；

而IPS必须能精确阻断关键网络威胁，对关键网络威胁的防护能力以及防护的准确性是评判IPS产品优劣的主要标准。两种产品在本质上是不存在共存的冲突的，若用户计划在一次项目中实施完整的安全解决方案，则应同时选择并部署IDS和IPS两类产品。在全网部署IDS，在网络的边界点部署IPS；若用户计划分布实施安全解决方案或对安全的需求并非十分迫切，能够考虑先部署IDS进行网络安全情况监控，之后随着业务量和安全需求的增长再部署IPS；若用户仅仅关注网络安全情况的监控，只需在网络中部署IDS便可。但不得不认可，网络是否安全的根本决定权仍是在人，因此不论选购或使用何种设备，人的因素是不可忽视的。