IDS与IPS功能分析

IDS 与 IPS

本文主要对比分析了***检测系统、 ***防护系统以及 “防火墙+***检测系统” 联动防御机制这三种网络安全方案，讨论了其优缺点和将来发展方向

1.       IDS的主要不足和IPS的主要优点

1.1  IDS的主要不足

（1）误报、漏报率高

IDS系统在识别 “大规模组合式、 分布式******” 方面，尚未较好的解决方法，误报与漏报现象严重。 误报使得大量的报警事件分散管理员的精力， 反而没法对真正的***做出反应。 与误报相对应的是漏报， 随着***方法的不断更新，***检测系统是否能报出网络中全部的***也是一个问题。

（2）没有主动防护能力

IDS技术采用了一种预设置式、 特征分析式工做原理， 因此检测规则的更新老是落后于***手段的更新， 没法主动发现网络中的安全隐患和故障。 另外， IDS只是检测和报警， 并不具备真正的防护和阻止***的能力，在报警的同时， ***已经发生了。

（3）不能解析加密数据流

对于加密的通讯来讲，IDS是无能为力的。

1.2       IPS的主要优点

与IDS相比，IPS具备如下优点。

（1）同时具有检测和防护功能IPS 不只能检测***还能阻止***， 作到检测和防护兼顾，并且是在入口处就开始检测， 而不是等到进入内部网络后再检测，这样，检测效率和内网的安全性都大大提升。

（2）可检测到IDS检测不到的***行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能， 弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足， 填补了网络安全产品基于内容的安全检查的空白。

（3） IPS是一种失效既阻断机制当IPS被***失效后， 它会阻断网络链接， 就像防火墙同样， 使被保护资源与外界隔断。

2  防火墙和IDS互动技术

2.1  经过开放接口实现互动防火墙或IDS产品开放一个接口供对方调用，按照必定的协议进行通讯，传输警报。 防火墙能够行使它第一层防护

功能——访问控制，IDS能够行使它第二层防护功能——检测***，丢弃恶意通讯，并通知防火墙进行阻断。

2.2        紧密集成实现互动把IDS与防火墙集成到同一个硬件平台上，在统一的操做系统管理下有序地运行。 全部经过该硬件平台的数据不只要接受防火墙规则的验证，还要被检测判断是否有***， 以达到真正的实时阻断。

3.网络安全设备发展趋势

网络安全设备安全功能的融合是大势所趋， IPS的提出顺应了这一潮流。对于IPS的发展前景以及IPS可否真正取代IDS的问题，通常结论认为：

（1）IPS近期不会取代IDS随着企业网络结构的不断扩大和日益复杂， 由内部员工违规引发的安全问题变得突出起来，防火墙、 防病毒等常规

的安全手段只能对付外部***， 对于内部违规行为却无能为力。 而IDS能够审计跟踪内部违反安全策略的行为。 另外， IDS能够记录、报警各类安全事件， 有利于进行安全审计和过后追踪， 对于追溯和阻止拒绝服务***可以提供有价值的线索。因此在安全等级要求很高的证券、银行以及电信的网络中，均能看到IDS的身影。

（2） “IDS + 防火墙” 的联动防御机制与IPS会在从此至关长的时间内并存， 但IPS的发展势头会更好一些。IPS并非防火墙的替代者， 当前， IPS与防火墙的互补做用仍是十分明显的， 防火墙负责提供OSI第4层如下的基本安全环境和高速转发能力， 而IPS负责OSI第4层层流量的细粒度控制。 随着时间的推移， IPS将会像防火墙同样成为4~7层的深层检测防火墙， 做为网络入口的第二道阀门。