认识IPS和IDS IDS和IPS争议有误区

古丁高手

2011-11-28 作者：Alysa 出处：佚名 责编：babycorn


　　IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

　　我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

　　不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：

　　（1）尽可能靠近攻击源

　　（2）尽可能靠近受保护资源

　　这些位置通常是：

　　·服务器区域的交换机上

　　·Internet接入路由器之后的第一台交换机上

　　·重点保护网段的局域网交换机上

　　防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！

IPS：侵入保护（阻止）系统

　　【导读】：侵入保护（阻止）系统（IPS）是新一代的侵入检测系统（IDS），可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
　　侵入保护（阻止）系统（IPS）是新一代的侵入检测系统（IDS），可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。

　　IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样，IPS 中也需要降低假阳性或假阴性，它通常使用更为先进的侵入检测技术，如试探式扫描、内容检查、状态和行为分析，同时还结合常规的侵入检测技术如基于签名的检测和异常检测。

　　同侵入检测系统（IDS）一样，IPS 系统分为基于主机和网络两种类型。

　　基于主机 IPS

　　基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起，监视并截取对内核或 API 的系统调用，以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境（如网页服务器的文件位置和注册条目），以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。

　　基于网络的 IPS

　　基于网络的 IPS 综合了标准 IDS 的功能，IDS 是 IPS 与防火墙的混合体，并可被称为嵌入式 IDS 或网关 IDS（GIDS）。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率，必须采用强迫信息流通过该设备的方式。更为具体的来说，受保护的信息流必须代表着向联网计算机系统或从中发出的数据，且在其中：

　　指定的网络领域中，需要高度的安全和保护和/或

　　该网络领域中存在极可能发生的内部爆发

　　配置地址能够有效地将网络划分成最小的保护区域，并能够提供最大范围的有效覆盖率。

IDS和IPS争议有误区

　　【导读】：对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题，给人一种二选一的感觉。经过了长时间的反复争论，以及来自产品开发和市场的反馈，冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
　　对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题，给人一种二选一的感觉。经过了长时间的反复争论，以及来自产品开发和市场的反馈，冷静的业内人士和客户已经看到这根本不是一个二选一的问题。　　很显然，用户需要的不是单一的产品，也不是众多产品的简单堆砌。现在一个比较流行的说法就是“信息安全保障体系（系统）”，也就是用户的安全是要靠众多技术、产品、服务和管理等要素组合成一个完整的体系，来解决所面临的安全威胁，以保护信息资产和正常业务。　　 在安全保障框架中，不同的产品、服务、措施会在不同的地方发挥作用。比如，PKI和生物鉴别机制的优势在鉴别认证领域能够很好地发挥作用；入侵检测则在监测、监控和预警领域发挥优势；防火墙和IPS能在访问控制领域发挥长处；数据加密和内容过滤在内容安全领域独领风骚。讨论不同的安全技术领域哪个更加符合用户的需求，其实不如探讨让各种安全技术如何有效地协同工作。　　IPS真的能够替代防火墙和IDS吗？提供IPS(IDP)的厂商常常声称，其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测，企图达到把IPS的作用上升到1+1>2的效果。但是很遗憾，实际上并不是这样。我们必须从技术本质上寻找解决办法。目前IPS能够解决的主要是准确的单包检测和高速传输的融合问题。

　　当然，检测和访问控制如何协同和融合，将会一直是业内研究的课题，也将会有更多更好的技术形态出现。不管叫什么名字，适合用户需求的就是最好的。

dyen

zhoujhvip@qq.co

zxinglin

，不错的见解。