检测、防御两生花-《中国计算机用户》

“IDS（入侵检测系统）和IPS（入侵防御系统）谁更满足用户需求”这个问题，给人一个二选一的感觉。自从2003年，Gartner公司副总裁Richard Stiennon发表的一份《入侵检测已寿终正寝，入侵防御将万古长青》的报告开始，安全业界被掀起不小的波动，对此业界也经过了长时间的文字争论。随着2006年IDC年度安全市场报告明确指出IDS和IPS是两个独立的市场，以及观看近来的产品开发和市场反馈，冷静的业界人士和客户已经看到这根本不是一个二选一的问题。

但是IDS和IPS双方厂商铺天盖地的市场宣传只能使这个问题的答案更不清晰，而最倒霉的就是那些安全管理员了，他们无法确定怎样部署产品最适合自己的环境。追根溯源，业界之所以产生IDS与IPS之争，与前几年IDS居高不下的误报率和漏报率有关，使用户伤透了脑筋。

但对于IDS的功过，用户总是各执一词。中国人民银行的专家表示，随着企业网络结构的不断扩大和日益复杂，由内部员工违规引起的安全问题变得突出起来，防火墙、防病毒等常规的安全手段只能对付外部入侵，对内部违规行为却无能为力，而IDS可以审计跟踪内部违反安全策略的行为，可以记录、报警各种安全事件，有利于进行安全审计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。

而某经济研究院的信息中心刘主任表示，IDS的误报率太高，只要一开机，便响个不停，在每天发出的上万条的报警信息中，真正有价值的信息却寥寥无几，而要从上万条信息中挖掘出有用的信息费时又费力。通常需要设立专人负责管理IDS，也正是这种现状迫使厂商进行技术革新，于是，能预防攻击的IPS技术应运而生。

对此，启明星辰产品管理中心总工万卿如此描述两者间的区别：“IDS是评估帮助用户自我认知的，而IPS或者防火墙等这些设备，是改善控制环境的。”

IPS虽然与IDS同出一源，其实分属不同阵营。

为了达到全面检测网络安全状况的目的，IDS需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每个子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御，IPS需要部署在网络的边界。这样所有来自外部的数据必须串行通过IPS，IPS即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

如上分析，IDS的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而IPS的核心价值在于安全策略的实施—对黑客行为的阻击；IDS需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，IPS则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。明确了这些区别，用户就可以比较理性的进行产品类型选择：

若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署IDS和IPS两类产品。如可以在全网部署IDS，在网络的边界点部署IPS。

但无论采用哪种技术，目的都是为了确保提升准确性，最大程度地保护用户的网络系统。