精确阻断与有效呈现 IPS不是IDS换代技术

　　一、问题的提出

　　IDS能对网络进行深层次的检测(应用层)，但由于IDS采用了旁路连接，对基于UDP或单包的无连接攻击行为只能预警，不能阻断。近年来很多通过防火墙与IDS联动防御入侵攻击，但效果有限。一是没有标准联动协议支持，二是防火墙对每个报文的转发不能实时等待IDS的通告，很难实现Pt（防护时间）>Dt（检测时间）+Rt（响应时间），单包的攻击、无连接攻击仍然难以及时阻断。入侵防护系统IPS(Intrusion Prevention System )是近两年出现的产品技术，它实现了对入侵行为的实时阻断。IPS是从IDS的检测技术发展而来，它沿袭了IDS的两大主要检测技术：一是应用的特征检测；二是行为匹配检测，对一系列行为动作做连续的跟踪和关联。另外利用对攻击行为样本建立一些模型，基于模式匹配来判断是否为攻击行为。IPS利用IDS的检测技术串行部署，实时检测并直接阻断攻击行为，显然IPS的应用方式最满足防御入侵的条件。既然IPS可以深层检测，又可以直接阻断，有些人开始误认为IPS可以接替IDS，甚至很多IDS的采购技术指标也改成了IPS参数。是否IPS就可以替代IDS了呢？答案应该是否，不仅不能替代，且二者独立并存，下面我们就对两者进行对比分析。

　　二、IPS与IDS比较

　　准确的讲，IPS与IDS都基于检测技术，但前者是通过检测来防护、后者是基于检测来监控，二者在安全工作中发挥着不同的作用。下面看看二者的几点不同：

　　

　　1.使用方式不同：IPS是串行链路安装，是网关控制类产品，只关注串行线路上的入侵防御。IDS是旁路安装，是安全检测、监控分析类产品，检测与关联的面更广，帮助用户发现、了解、统计、分析入侵威胁状况；前者重控制，后者重管理。

　　2.设计思路不同：由于IPS在线工作，相比IDS而言，IPS增加数据转发环节，这对系统资源是一个新消耗。要保障IPS数据处理效率，IPS必须与IDS资源分配重心不同，为了降低在线等待时间，IPS事件响应机制要比IDS更精确更迅速，误报高、响应慢的事件在IPS没有存在的意义。同时IPS中统计分析、报表呈现等管理特性为提升效率也必须作出一定的让步。所以若厂家的IPS与IDS的检测事件库相则说明IPS效率未达到最优状态。

　　3.发展目标不同：IPS重在深层防御，追求精确阻断。是防御入侵的最佳方案。它弥补防火墙或IDS对入侵数据实时阻断效果的不足。在提升性能效率的同时，必须不断的追求精确识别攻击的能力、抗躲避能力，没有误阻断的深层防御才算有效，否则防御的代价就是影响正常业务。IDS重在全面检测，追求有效呈现。是了解入侵状况的最佳方案，会长期存在且不断发展。IDS除了完善入侵行为识别全面性以外，还要通过统计数据分析、多维报表呈现等管理特性，更加直观的让用户了解入侵威胁状况和趋势，以便支撑治理入侵的最佳思路；

　　三、小结

　　防护与监控本是安全建设中相辅相成的两个方面，只有IDS并不能很好地实时防御入侵，但只有IPS就不能全面的了解入侵防御改善的状况。IPS与IDS虽然来源于同样的检测技术基础，但其功能方向却分在两个方向上，其在网络中的地位是不可相互替代的。