IPS与IDS

作者：中关村在线 胡援兵

第1页：IPS与IDS的纷争

　　源于1980年的IDS入侵检测技术，自诞生以来曾引领20年的计算机网络安全思潮。

　　2000年，IPS概念的推出改变了这一格局，其处于应用层级的入侵阻断技术得到市场一度的追捧，而2003年Gartner副总裁Richard Stiennon公开的"IDS Is Dead"论断也是强调了IPS相对更加完善的网络安全保护功能，自此三年间，“IPS是否将取代IDS”就成为业内最热门的问题。

　　2006年，IDC根据广泛的市场调研与技术分析，公开发表"IDS与IPS是两个不同安全技术应用市场"，浇熄了代表IDS与代表IPS两方面唇枪舌战的热情。

　　有不少业内人士认为：IDC的这一报告，为这一纷争划上了完美的句号。但是，在代表一个时段标志的明星病毒、恶意攻击纷至沓来的同时，围绕着众多品牌网络安全产品展开的技术纷争或许只是开始……

　　其实，要说到IDS与IPS的纷争，在你我他的周围，无非是这么三种说法：

　　1）IPS具备IDS所无法具有的更深层分析能力、入侵数据网络阻断功能，所以其必将取代IDS；

　　2）IPS无法做到IDS更全面的入侵检测功能，所以其必然无法取代IDS；

　　3）IPS与IDS是两种不同的技术，并存于不同的应用市场，谁取代谁的说法无意义。

　　公平看待这三种论调，其实都有各自的道理，但是，事实上，三者都说得不够全面，要给出一个合理的评判，需要从IPS与IDS的工作原理出发进行分析。

第2页：IDS与IPS工作原理

IDS工作原理

　　IDS是英文术语Intrusion Detection System的缩写，意译为入侵检测系统。

　　如果对入侵检测系统进行功能模块划分，可以分为数据采集、数据分析、控制主体、数据管理四个部分，其各部分通信工作原理大致如下：

　　1）数据在通过防火墙后向IDS传送，IDS内的数据采集模块探测并获取网络中实时流动的数据包信息并进行简单路径与数据包规则等分类，而后向数据分析模块提交相关分类信息；

　　2）数据分析模块将采集来的分类数据信息根据进行规则描述，而后将此描述向数据管理模块发送；

　　3）数据管理模块对数据分析模块传送的数据包行为描述与库存的所有描述进行对照，而后向数据分析模块进行反馈；

　　4）数据分析模块根据数据管理模块反馈的信息，判断此数据包是否合法，而后向控制主体模块传递数据包是否合法的信息；

　　5）控制主体模块根据所接收是否合法的信息执行允许操作确认信息或是向系统发出网络警报的行为，行为执行完毕，同时向数据分析模块与数据管理模块传达已执行动作的反馈。

IPS工作原理

　　IPS是英文术语Intrusion Prevention System的缩写，意译为入侵防御系统。

　　入侵防御系统在具备网络数据检测功能的基础上，增加了网络数据包阻断功能，不过它所具备的网络数据检测功能在早期的概念里，仅仅是针对网络流量的简单统计与分析，其内部通信工作原理大致如下：

　　1）数据统计模块对网络通路内一段时间内发送往防火墙的数据流量进行统计，并向统计结果向数据分析模块提交；

　　2）数据分析根据即定的流量大小规则判断统计结果是否正常，并同时将正常与否的信息发送往控制主体模块；

　　3）控制主体模块根据接收的网络流量正常与否的信息，决定并执行将数据包传送向防火墙(早期名为网关)或阻止数据包进入网络的行为。

第3页：IDS与IPS优劣与发展趋势

　　从上文IDS与IPS技术的工作原理，我们可以了解其异同并分析其优劣：

　　1）两者工作与所处的位置不同，IDS工作于局域网的防火墙内，IPS工作于局域网的路由与防火墙之间，这一点两者并无优劣的差别；

　　2）两者同时具备网络数据检测功能，但是两者检测功能的目标又有不同：

　　IDS能实时检测每个具体的数据包信息，可以更完整的监测所有数据包信息，但是它不能统计某个时段的流量并给予网络系统全局性的反应。

　　IPS则是在更深的应用层进行网络流量监测与分析，能够判断一个时间段内流量的正常与否以利于系统作出全局性的反应，但是对于单个数据包安全与否，却未作出任何判断；

　　3）IPS具备更深的应用层阻断数据包功能，这是IDS无法具备的，但是当遭遇系统的误报，却会将所有合法数据包丢弃在网络中，以致给正常网络通信带来毁灭性的打击。

　　如果将IDS与IPS技术独立地分割开来，结合前文提到的IDS与IPS纷争的三种说法与以上IDS与IPS异同与优劣分析，我们首先可以确定：

　　第一种说法”IPS必将取代IDS”是错误的，第二种说法“IPS无法取代IDS“也不够全面--因为这两种技术不具备可比性，第三种将IDS与IPS区分开来的说法，是目前社会占据大多数人群的想法，在IDS与IPS独立区分开来的前提下，确为一种正确的答案。

　　不过，网络安全领域的发展跟随着信息化前进的大同趋势不断变化：

　　从网络交换与路由概念的模糊到GSP、手机、数码相机、计算机功能的相互渗透渗透，我们逐渐看到多年前全球范围内的3C融合预期的实现。

　　反过头来看网络安全，IPS、IDS、高级智能化管理等技术在硬件防火墙里逐渐集成实现，即便是市场中陆续推出的所谓IPS或IDS的更加智能化的独立技术，也是在参考双方相互的优势——如在IPS中增加更加强劲的处理单元以实现IDS的全面数据检测和在IDS中嵌入流量控制和应用层的数据阻断功能模块，此时，所谓的IPS与IDS已经不再是当初独立的技术概念，它们已将对方更优势的功能模块摄入。

　　这一刻，IPS与IDS的概念区分就仿佛网络交换与路由的区分一样变得模糊而无法分割，成为网络安全系统的一部分，自此逐渐增加的添加诸如路由交换与更高级更智能化的管理功能，则同样顺应着信息大同的趋势，将IPS与IDS的更紧密融合推向网络安全技术前进的道路上。