IDS與IPS功能分析

IDS 與 IPS

本文主要對比分析了***檢測系統、 ***防護系統以及 「防火牆+***檢測系統」 聯動防禦機制這三種網絡安全方案，討論了其優缺點和將來發展方向

1.       IDS的主要不足和IPS的主要優點

1.1  IDS的主要不足

（1）誤報、漏報率高

IDS系統在識別 「大規模組合式、 分佈式******」 方面，尚未較好的解決方法，誤報與漏報現象嚴重。 誤報使得大量的報警事件分散管理員的精力， 反而沒法對真正的***做出反應。 與誤報相對應的是漏報， 隨着***方法的不斷更新，***檢測系統是否能報出網絡中全部的***也是一個問題。

（2）沒有主動防護能力

IDS技術採用了一種預設置式、 特徵分析式工做原理， 因此檢測規則的更新老是落後於***手段的更新， 沒法主動發現網絡中的安全隱患和故障。 另外， IDS只是檢測和報警， 並不具備真正的防護和阻止***的能力，在報警的同時， ***已經發生了。

（3）不能解析加密數據流

對於加密的通訊來講，IDS是無能爲力的。

1.2       IPS的主要優點

與IDS相比，IPS具備如下優點。

（1）同時具有檢測和防護功能IPS 不只能檢測***還能阻止***， 作到檢測和防護兼顧，並且是在入口處就開始檢測， 而不是等到進入內部網絡後再檢測，這樣，檢測效率和內網的安全性都大大提升。

（2）可檢測到IDS檢測不到的***行爲IPS是在應用層的內容檢測基礎上加上主動響應和過濾功能， 彌補了傳統的防火牆+IDS 方案不能完成更多內容檢查的不足， 填補了網絡安全產品基於內容的安全檢查的空白。

（3） IPS是一種失效既阻斷機制當IPS被***失效後， 它會阻斷網絡鏈接， 就像防火牆同樣， 使被保護資源與外界隔斷。

2  防火牆和IDS互動技術

2.1  經過開放接口實現互動防火牆或IDS產品開放一個接口供對方調用，按照必定的協議進行通訊，傳輸警報。 防火牆能夠行使它第一層防護

功能——訪問控制，IDS能夠行使它第二層防護功能——檢測***，丟棄惡意通訊，並通知防火牆進行阻斷。

2.2        緊密集成實現互動把IDS與防火牆集成到同一個硬件平臺上，在統一的操做系統管理下有序地運行。 全部經過該硬件平臺的數據不只要接受防火牆規則的驗證，還要被檢測判斷是否有***， 以達到真正的實時阻斷。

3.網絡安全設備發展趨勢

網絡安全設備安全功能的融合是大勢所趨， IPS的提出順應了這一潮流。對於IPS的發展前景以及IPS可否真正取代IDS的問題，通常結論認爲：

（1）IPS近期不會取代IDS隨着企業網絡結構的不斷擴大和日益複雜， 由內部員工違規引發的安全問題變得突出起來，防火牆、 防病毒等常規

的安全手段只能對付外部***， 對於內部違規行爲卻無能爲力。 而IDS能夠審計跟蹤內部違反安全策略的行爲。 另外， IDS能夠記錄、報警各類安全事件， 有利於進行安全審計和過後追蹤， 對於追溯和阻止拒絕服務***可以提供有價值的線索。因此在安全等級要求很高的證券、銀行以及電信的網絡中，均能看到IDS的身影。

（2） 「IDS + 防火牆」 的聯動防禦機制與IPS會在從此至關長的時間內並存， 但IPS的發展勢頭會更好一些。IPS並非防火牆的替代者， 當前， IPS與防火牆的互補做用仍是十分明顯的， 防火牆負責提供OSI第4層如下的基本安全環境和高速轉發能力， 而IPS負責OSI第4層層流量的細粒度控制。 隨着時間的推移， IPS將會像防火牆同樣成爲4~7層的深層檢測防火牆， 做爲網絡入口的第二道閥門。