IDS和IPS 企業如何作出正確選擇?

業內關於IDS和IPS的討論持續以久，Gartner副總裁Richard Stiennon在03年發表的《***檢測將亡 ***防護前途看好》引發安全業界的巨大震動，至今用戶在考慮企業安全方案的時候，仍然會問究竟是選擇IDS仍是IPS。06年IDC年度安全市場報告指出IDS和IPS是兩個獨立的市場，至此IDS和IPS有了一個明確的定位。

可是不得不認可對於用戶而言，選擇IDS仍是IPS仍然是個頭疼的問題。筆者覺得IDS和IPS分別是兩種不一樣做用的安全產品，或者說側重點是不一樣的。筆者並不贊同IPS的出現能夠替代IDS的地位，就彷彿行爲檢測技術的出現，仍然須要成熟的特徵碼檢測做爲依據同樣。

認識***檢測IDS（Intrusion Detection System）
IDS的核心功能是對各類事件進行分析，從中發現違反安全策略的行爲。從技術上講，***檢測分爲兩類：一種基於標誌（signature-based），另外一種基於異常狀況（anomaly-based）。

對於基於標識的檢測技術來講，首先要定義違背安全策略的事件的特徵，如網絡數據包的某些頭信息。而基於異常的檢測技術則是先定義一組系統「正常」狀況的數值，如CPU利用率、內存利用率、文件校驗和等，而後將系統運行時的數值與所定義的「正常」狀況比較，得出是否有被***的跡象。這種檢測方式的核心在於如何定義所謂的「正常」狀況。

兩種檢測技術的方法、所得出的結論有很是大的差別。基於標誌的檢測技術的核心是維護一個知識庫。對於已知的***，它能夠詳細、準確的報告出***類型，可是對未知***卻效果有限，並且知識庫必須不斷更新。基於異常的檢測技術則沒法準確判別出***的手法，但它能夠（至少在理論上能夠）判別更廣範、未知的***。

不得不認可IDS存在一些致命的缺陷，甚至有人認爲IDS只報警不採起措施的方式不能保證網絡的安全，但筆者認爲這種說法是片面的，因爲IDS的檢測種類方式各不相同，因此不能簡單的說只檢測就不能有效的抵禦網絡***。所以筆者建議若用戶僅僅關注網絡安全情況的監控，只需在目標信息系統中部署IDS便可，配以優秀的網絡管理人員，就能夠解決遇到的大多數安全異常情況。

 

 

 

認識***防護系統IPS（Intrusion Prevention System）
***防禦系統 （IPS） 則傾向於提供主動防禦，其設計宗旨是預先對***活動和***性網絡流量進行攔截，避免其形成損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是經過直接嵌入到網絡流量中實現這一功能的，即經過一個網絡端口接收來自外部系統的流量，通過檢查確認其中不包含異常活動或可疑內容後，再經過另一個端口將它傳送到內部系統中。

 

 

IPS實現實時檢查和抵禦***的原理在於IPS擁有數目衆多的過濾器來防止各類***。當發現一種新的***手段時，IPS就會建立一個相應的過濾器。IPS數據包處理引擎是專門定製的集成電路，能夠深層檢查數據包的內容，若是有***者利用數據鏈路層至應用層的漏洞發起***，IPS可以從數據流中檢查出這些***並加以阻止。

 

傳統的防火牆只能對網絡層或傳輸層進行檢查，不能檢測應用層的內容。全部流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。經過檢查的數據包能夠繼續前進，包含惡意內容的數據包就會被丟棄，可疑的數據包須要接受進一步的檢查。

 

針對不一樣的***行爲，IPS須要不一樣的過濾器。每種過濾器都設有相應的過濾規則，爲了確保準確性，這些規則的定義十分普遍。在對傳輸內容進行分類時，過濾引擎還須要參照數據包的信息參數，並將其解析至一個已知的環境中進行分析對比，以提升過濾準確性。

 

IPS的過濾器引擎集合了流水做業和大規模並行處理技術，並行過濾處理能夠確保數據包可以不間斷地快速經過系統，不會對速度形成影響。這種硬件加速技術對於IPS具備重要意義，傳統的軟件解決方案必須串行進行過濾檢查，會致使系統性能大打折扣。

如此完善的檢測你是否會心動呢？可是IPS 仍然面對不少挑戰，其中主要有：單點故障、性能瓶頸、誤報和漏報。IPS的設計原理要求必須以嵌入模式工做在網絡中，這就可能形成瓶頸問題或單點故障。若是IDS 出現故障，最壞的狀況是形成某些***沒法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網絡的正常運轉。若是IPS出現故障而關閉，用戶就會面對一個由IPS形成的拒絕服務問題，全部客戶都將沒法訪問企業網絡提供的應用。

即便 IPS 設備不出現故障，它仍然是一個潛在的網絡瓶頸，不只會增長滯後時間，並且會下降網絡的效率，IPS必須與數千兆或者更大容量的網絡流量保持同步，尤爲是當加載了數量龐大的檢測特徵庫時，設計不夠完善的 IPS 嵌入設備沒法支持這種響應速度。大多數高端 IPS 產品供應商都經過使用自定義硬件（FPGA、網絡處理器和ASIC芯片）來提升IPS的運行效率。

誤報率和漏報率也須要IPS更好的關注。網絡當中，一旦生成了警報，最基本的要求就是IPS可以對警報進行有效處理。若是***行爲特徵碼不是十分完善，那麼「誤報」就有了可乘之機，合法流量也有可能被意外攔截。對於實時在線的IPS來講，一旦攔截了「***性」數據包，就會對來自可疑***者的全部數據流進行攔截。

 

若是觸發了誤報警報的流量剛好是某個客戶重要信息（訂單、交易信息等）的一部分，其結果可想而知，相應的客戶整個會話就會被關閉，並且此後該客戶全部從新鏈接到企業網絡的合法訪問都會被IPS攔截。

 

IPS廠商爲了應付這些難題，每每綜合採用多種檢測技術或採用專用硬件加速系統來提升IPS的運行效率。甚至有些IPS廠商的基於網絡的***防禦設備提供多種接入模式，其中包括旁路接入方式，在這種模式下運行的IPS實際上就是一臺純粹的IDS設備。這些疑慮也不是不可解決的，安全廠商正在努力提升本身的技術力量來克服種種困難，在須要嚴格保證安全的網絡中使用IPS設備也不失爲一種好的方式。

 

綜述
IDS和IPS在網絡的安全應用中都起着十分重要的做用，任何產品的開發都是圍繞着核心產品價值展開，安全領域的核心價值就是保證網絡的高度安全。所以IDS必須可以全面檢測網絡中各種安全事件，也就是說檢測的全面性是考量IDS產品優劣的主要標準；

而IPS必須能精確阻斷關鍵網絡威脅，對關鍵網絡威脅的防護能力以及防護的準確性是評判IPS產品優劣的主要標準。兩種產品在本質上是不存在共存的衝突的，若用戶計劃在一次項目中實施完整的安全解決方案，則應同時選擇並部署IDS和IPS兩類產品。在全網部署IDS，在網絡的邊界點部署IPS；若用戶計劃分佈實施安全解決方案或對安全的需求並非十分迫切，能夠考慮先部署IDS進行網絡安全情況監控，之後隨着業務量和安全需求的增長再部署IPS；若用戶僅僅關注網絡安全情況的監控，只需在網絡中部署IDS便可。但不得不認可，網絡是否安全的根本決定權仍是在人，因此不論選購或使用何種設備，人的因素是不可忽視的。