2003年8月，Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝，入侵防御将万古长青》的报告，提出入侵检测系统Intrusion Detection System（IDS）已经难以适应客户的需要。IDS不能提供附加层面的安全，相反增加了企业安全操作的复杂性。入侵检测系统朝入侵防御系统Intrusion Prevention System（IPS）方向发展已成必然。

　　一石激起千层浪。刚刚从IDS脱颖而出的IPS，一时间竟然成了IDS的天敌。两年多来，尽管事实上IDS非但没有退出安全产品阵列，反而不断更新、依然占领着继防火墙之后第二大的安全产品市场份额，但是IDS行将就木的宣传不仅引发了信息安全体系建设上的争执与混乱，而且给客户的信息安全产品选型造成了不应有的压力与彷徨。

　　1. IDS的功能与缺陷

　　IDS本质上是一种监听系统，它依照一定的安全策略，对网络与系统的运行状况进行监测，尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果，以保证信息系统的机密性、完整性和可用性。IDS可分为主机型HIDS和网络型NIDS，目前主流IDS产品均采用两者有机结合的混合型架构。

　　1.1 IDS的传统优势

　　NIDS使用原始网络信息作为数据源，利用运行在随机模式下的网络适配器实时监听和分析通过网络的所有通信，收集相关信息并记入日志；而HIDS则通常安装在被检测的主机之上，与该主机的网络实时连接，负责对系统审计日志进行智能分析和判断。若发现非法入侵或者违反统计规律的行为异常，IDS会立即发出警报，由系统管理员进行决策处理。IDS的传统优势在于：

　　整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件；

　　对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性；

独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证；

同一网段或者一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低。

　　1.2 IDS的明显缺陷

　　IDS最明显的缺陷有：

　　被动防御的监听方式限制阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击，对于建立在UDP基础之上的入侵则无能为力；

　　基于特征的入侵检测技术落伍。由于缺少信息管理，难于抵挡Canvas和MetaSploit等欺骗工具的攻击和渗透；

　　误报与漏报率高于客户预期。有些IDS产品每天会产生大量的异常报告，其中绝大多数属于非攻击行为，需要具有相当专业水准的网络安全管理员进行甄别，有时甚至会给客户造成难于忍受的负担；

　　对于检测主机的依赖性。由于HIDS安装于检测主机之上，不仅消耗检测对象的部分资源，影响到被检测主机的效率，而且还必須針对不同的主机及其系统环境设计和安装各自的HIDS。

　　2. IPS的优势与弱点

　　提到IPS，人们常常会谈到一个公式: IPS = Firewall + IDS；也有文献认为，将IDS的传感器置于网络通信线路之内（In-line），让所有网络通信量必须通过它，就得到了一台IPS。这两种看法均有偏颇之处，但是却殊途同归地道出了一个事实：IPS来自IDS。

　　2.1 IPS的原理与分类

　　青出于蓝而胜于蓝。IPS串联于通信线路之内，是既具有IDS的检测功能，又能够实时中止网络入侵行为的新型安全技术设备。IPS由检测和防御两大系统组成，具备从网络到主机的防御措施与预先设定的响应设置。图1是北京基格网络技术有限公司研制的基格领袖IPS原理框图，在同类产品中颇具代表性。

图1. 入侵防御系统IPS的原理框图

推荐文章 ·技术知识入门：反NIDS技术应用介 ·入侵检测系统逃避技术和对策的介 ·安全防护 - 入侵检测实战之全面 ·十大入侵检测系统高风险事件及其 ·术语详解: IDS ·入侵检测系统(IDS)的弱点和局限( ·入侵检测系统(IDS)的弱点和局限( ·入侵检测系统(IDS)的弱点和局限( ·入侵检测系统面临的三大挑战 ·入侵检测应该与操作系统绑定 ·入侵检测术语全接触 ·IDS:网络安全的第三种力量 ·我们需要什么样的入侵检测系统 ·IDS的数据收集机制