IDS與IPS功能分析

本文主要對比分析了入侵檢測系統、 入侵防禦系統以及 “防火墻+入侵檢測系統” 聯動防護機制這三種網絡安全方案，討論了其優缺點和未來發展方向。

本文主要對比分析了入侵檢測系統、 入侵防禦系統以及 “防火墻+入侵檢測系統” 聯動防護機制這三種網絡安全方案，討論了其優缺點和未來發展方向

1. IDS的主要不足和IPS的主要優勢

1.1 IDS的主要不足

（1）誤報、漏報率高

IDS系統在識別 “大規模組合式、 分布式入侵攻擊” 方面，還沒有較好的解決方法，誤報與漏報現象嚴重。 誤報使得大量的報警事件分散管理員的精力， 反而無法對真正的攻擊作出反應。 與誤報相對應的是漏報， 隨著攻擊方法的不斷更新，入侵檢測系統是否能報出網絡中所有的攻擊也是一個問題。

（2）沒有主動防禦能力

IDS技術采用了一種預設置式、 特征分析式工作原理， 所以檢測規則的更新總是落後於攻擊手段的更新， 無法主動發現網絡中的安全隱患和故障。 另外， IDS只是檢測和報警， 並不具有真正的防禦和阻止攻擊的能力，在報警的同時， 攻擊已經發生了。

（3）不能解析加密數據流

對於加密的通信來說，IDS是無能為力的。

1.2 IPS的主要優勢

與IDS相比，IPS具有以下優勢。

（1）同時具備檢測和防禦功能IPS 不僅能檢測攻擊還能阻止攻擊， 做到檢測和防禦兼顧，而且是在入口處就開始檢測， 而不是等到進入內部網絡後再檢測，這樣，檢測效率和內網的安全性都大大提高。

（2）可檢測到IDS檢測不到的攻擊行為IPS是在應用層的內容檢測基礎上加上主動響應和過濾功能， 彌補了傳統的防火墻+IDS 方案不能完成更多內容檢查的不足， 填補了網絡安全產品基於內容的安全檢查的空白。

（3） IPS是一種失效既阻斷機制當IPS被攻擊失效後， 它會阻斷網絡連接， 就像防火墻一樣， 使被保護資源與外界隔斷。

2 防火墻和IDS互動技術

2.1 通過開放接口實現互動防火墻或IDS產品開放一個接口供對方調用，按照一定的協議進行通信，傳輸警報。 防火墻可以行使它第一層防禦

功能——訪問控制，IDS可以行使它第二層防禦功能——檢測入侵，丟棄惡意通信，並通知防火墻進行阻斷。

2.2 緊密集成實現互動把IDS與防火墻集成到同一個硬件平臺上，在統一的操作系統管理下有序地運行。 所有通過該硬件平臺的數據不僅要接受防火墻規則的驗證，還要被檢測判斷是否有攻擊， 以達到真正的實時阻斷。

3.網絡安全設備發展趨勢

網絡安全設備安全功能的融合是大勢所趨， IPS的提出順應了這一潮流。對於IPS的發展前景以及IPS能否真正取代IDS的問題，一般結論認為：

（1）IPS近期不會取代IDS隨著企業網絡結構的不斷擴大和日益復雜， 由內部員工違規引起的安全問題變得突出起來，防火墻、 防病毒等常規

的安全手段只能對付外部入侵， 對於內部違規行為卻無能為力。 而IDS可以審計跟蹤內部違反安全策略的行為。 另外， IDS可以記錄、報警各種安全事件， 有利於進行安全審計和事後追蹤， 對於追溯和阻止拒絕服務攻擊能夠提供有價值的線索。所以在安全等級要求很高的證券、銀行以及電信的網絡中，均能看到IDS的身影。

（2） “IDS + 防火墻” 的聯動防護機制與IPS會在今後相當長的時間內並存， 但IPS的發展勢頭會更好一些。IPS並不是防火墻的替代者， 當前， IPS與防火墻的互補作用還是十分明顯的， 防火墻負責提供OSI第4層以下的基本安全環境和高速轉發能力， 而IPS負責OSI第4層層流量的細粒度控制。 隨著時間的推移， IPS將會像防火墻一樣成為4~7層的深層檢測防火墻， 作為網絡入口的第二道閥門。

IDS與IPS功能分析