IDS 和IPS從題庫里找到的答案，加油！IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。我們做一個(gè)形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。不同于防火墻，IDS入侵檢測系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：（1）盡可能靠近攻擊源（2）盡可能靠近受保護(hù)資源這些位置通常是：?服務(wù)器區(qū)域的交換機(jī)上?Internet接入路由器之后的第一臺(tái)交換機(jī)上?重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上防火墻和IDS可以分開操作，IDS是個(gè)臨控系統(tǒng)，可以自行選擇合適的，或是符合需求的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設(shè)置及規(guī)則，或是重新設(shè)置！IPS：侵入保護(hù)（阻止）系統(tǒng)【導(dǎo)讀】：侵入保護(hù)（阻止）系統(tǒng)（IPS）是新一代的侵入檢測系統(tǒng)（IDS），可彌補(bǔ) IDS 存在于前攝及假陽性/陰性等性質(zhì)方面的弱點(diǎn)。IPS 能夠識(shí)別事件的侵入、關(guān)聯(lián)、沖擊、方向和適當(dāng)?shù)姆治?，然后將合適的信息和命令傳送給防火墻、交換機(jī)和其它的網(wǎng)絡(luò)設(shè)備以減輕該事件的風(fēng)險(xiǎn)。侵入保護(hù)（阻止）系統(tǒng)（IPS）是新一代的侵入檢測系統(tǒng)（IDS），可彌補(bǔ) IDS 存在于前攝及假陽性/陰性等性質(zhì)方面的弱點(diǎn)。IPS 能夠識(shí)別事件的侵入、關(guān)聯(lián)、沖擊、方向和適當(dāng)?shù)姆治?，然后將合適的信息和命令傳送給防火墻、交換機(jī)和其它的網(wǎng)絡(luò)設(shè)備以減輕該事件的風(fēng)險(xiǎn)。IPS 的關(guān)鍵技術(shù)成份包括所合并的全球和本地主機(jī)訪問控制、IDS、全球和本地安全策略、風(fēng)險(xiǎn)管理軟件和支持全球訪問并用于管理 IPS 的控制臺(tái)。如同 IDS 中一樣，IPS 中也需要降低假陽性或假陰性，它通常使用更為先進(jìn)的侵入檢測技術(shù)，如試探式掃描、內(nèi)容檢查、狀態(tài)和行為分析，同時(shí)還結(jié)合常規(guī)的侵入檢測技術(shù)如基于簽名的檢測和異常檢測。同侵入檢測系統(tǒng)（IDS）一樣，IPS 系統(tǒng)分為基于主機(jī)和網(wǎng)絡(luò)兩種類型?；谥鳈C(jī) IPS基于主機(jī)的 IPS 依靠在被保護(hù)的系統(tǒng)中所直接安裝的代理。它與操作系統(tǒng)內(nèi)核和服務(wù)緊密地捆綁在一起，監(jiān)視并截取對(duì)內(nèi)核或 API 的系統(tǒng)調(diào)用，以便達(dá)到阻止并記錄攻擊的作用。它也可以監(jiān)視數(shù)據(jù)流和特定應(yīng)用的環(huán)境（如網(wǎng)頁服務(wù)器的文件位置和注冊條目），以便能夠保護(hù)該應(yīng)用程序使之能夠避免那些還不存在簽名的、普通的攻擊?；诰W(wǎng)絡(luò)的 IPS基于網(wǎng)絡(luò)的 IPS 綜合了標(biāo)準(zhǔn) IDS 的功能，IDS 是 IPS 與防火墻的混合體，并可被稱為嵌入式 IDS 或網(wǎng)關(guān) IDS（GIDS）?；诰W(wǎng)絡(luò)的 IPS 設(shè)備只能阻止通過該設(shè)備的惡意信息流。為了提高 IPS 設(shè)備的使用效率，必須采用強(qiáng)迫信息流通過該設(shè)備的方式。更為具體的來說，受保護(hù)的信息流必須代表著向聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)或從中發(fā)出的數(shù)據(jù)，且在其中：指定的網(wǎng)絡(luò)領(lǐng)域中，需要高度的安全和保護(hù)和/或該網(wǎng)絡(luò)領(lǐng)域中存在極可能發(fā)生的內(nèi)部爆發(fā)配置地址能夠有效地將網(wǎng)絡(luò)劃分成最小的保護(hù)區(qū)域，并能夠提供最大范圍的有效覆蓋率。IDS和IPS爭議有誤區(qū)【導(dǎo)讀】：對(duì)于“IDS和IPS(IDP)誰更能滿足用戶需求”這個(gè)問題，給人一種二選一的感覺。經(jīng)過了長時(shí)間的反復(fù)爭論，以及來自產(chǎn)品開發(fā)和市場的反饋，冷靜的業(yè)內(nèi)人士和客戶已經(jīng)看到這根本不是一個(gè)二選一的問題。對(duì)于“IDS和IPS(IDP)誰更能滿足用戶需求”這個(gè)問題，給人一種二選一的感覺。經(jīng)過了長時(shí)間的反復(fù)爭論，以及來自產(chǎn)品開發(fā)和市場的反饋，冷靜的業(yè)內(nèi)人士和客戶已經(jīng)看到這根本不是一個(gè)二選一的問題。很顯然，用戶需要的不是單一的產(chǎn)品，也不是眾多產(chǎn)品的簡單堆砌?，F(xiàn)在一個(gè)比較流行的說法就是“信息安全保障體系（系統(tǒng)）”，也就是用戶的安全是要靠眾多技術(shù)、產(chǎn)品、服務(wù)和管理等要素組合成一個(gè)完整的體系，來解決所面臨的安全威脅，以保護(hù)信息資產(chǎn)和正常業(yè)務(wù)。在安全保障框架中，不同的產(chǎn)品、服務(wù)、措施會(huì)在不同的地方發(fā)揮作用。比如，PKI和生物鑒別機(jī)制的優(yōu)勢在鑒別認(rèn)證領(lǐng)域能夠很好地發(fā)揮作用；入侵檢測則在監(jiān)測、監(jiān)控和預(yù)警領(lǐng)域發(fā)揮優(yōu)勢；防火墻和IPS能在訪問控制領(lǐng)域發(fā)揮長處；數(shù)據(jù)加密和內(nèi)容過濾在內(nèi)容安全領(lǐng)域獨(dú)領(lǐng)風(fēng)騷。討論不同的安全技術(shù)領(lǐng)域哪個(gè)更加符合用戶的需求，其實(shí)不如探討讓各種安全技術(shù)如何有效地協(xié)同工作。IPS真的能夠替代防火墻和IDS嗎？提供IPS(IDP)的廠商常常聲稱，其IPS能夠兼具防火墻的網(wǎng)關(guān)防御能力和入侵檢測的深度檢測，企圖達(dá)到把IPS的作用上升到1+1>2的效果。但是很遺憾，實(shí)際上并不是這樣。我們必須從技術(shù)本質(zhì)上尋找解決辦法。目前IPS能夠解決的主要是準(zhǔn)確的單包檢測和高速傳輸?shù)娜诤蠁栴}。當(dāng)然，檢測和訪問控制如何協(xié)同和融合，將會(huì)一直是業(yè)內(nèi)研究的課題，也將會(huì)有更多更好的技術(shù)形態(tài)出現(xiàn)。不管叫什么名字，適合用戶需求的就是最好的。三個(gè)維度區(qū)分IDS與IPS【導(dǎo)讀】：3年前，當(dāng)入侵防御技術(shù)（IPS）出現(xiàn)時(shí)，咨詢機(jī)構(gòu)Gartner曾經(jīng)預(yù)言，IDS（入侵檢測）即將死亡，將由IPS取代，當(dāng)時(shí)曾引起媒體一片討論。2006年，咨詢機(jī)構(gòu)IDC斷言，IDS與IPS是兩種不同的技術(shù)，無法互相取代。而今天，依然有很多用戶不清楚兩者之間的差別。中國人民銀行的張漲是IDS的骨灰級(jí)用戶，對(duì)IDS玩得非常熟，但即使這樣，他也僅僅是聽說IPS而已，并沒有真正使用和見過。他的擔(dān)心是：IPS既然是網(wǎng)絡(luò)威脅的阻斷設(shè)備，誤報(bào)、誤阻影響網(wǎng)絡(luò)的連通性怎么辦？北京銀行的魏武中也認(rèn)為，如果在網(wǎng)絡(luò)的入口處，串接了一串安全設(shè)備：IPS、防火墻/VPM以及殺病毒網(wǎng)關(guān)等，怎么保證網(wǎng)絡(luò)的效率？是否會(huì)因增添一種新的設(shè)備而引起新的單點(diǎn)故障的風(fēng)險(xiǎn)？事實(shí)上，這些疑問一直如影隨形地伴隨著IPS的誕生和發(fā)展。以至于，在很多用戶的安全設(shè)備的采購清單中，一直在出現(xiàn)“IDS或IPS”的選擇，這證明用戶依然不了解這兩種技術(shù)的差別。啟明星辰公司的產(chǎn)品管理中心總監(jiān)萬卿認(rèn)為，現(xiàn)在是重新審視這兩種技術(shù)的時(shí)候了。他認(rèn)為，要從三個(gè)維度上認(rèn)清這兩種技術(shù)的不同。從趨勢看差別2004年，Gartner的報(bào)告曾經(jīng)預(yù)言IDS即將死亡，但無論從用戶的需求還是從廠商的產(chǎn)品銷售來看，IDS依然處于旺盛的需求階段，比如，國內(nèi)最大的IDS生產(chǎn)廠商啟明星辰公司，今年上半年IDS的增長超過了50％，并且，公司最大的贏利來源依然是IDS，事實(shí)證明，IDS即將死亡的論斷是錯(cuò)誤的。萬卿認(rèn)為，IDC的報(bào)告是準(zhǔn)確的，IDS和IPS分屬兩種不同產(chǎn)品領(lǐng)域，前者是一種檢測技術(shù)，而后者是一種阻斷技術(shù)，只不過后者阻斷攻擊的依據(jù)是檢測，因此要用到很多的檢測技術(shù)，很多用戶就此搞混了。從理論上看，IDS和IPS是分屬兩個(gè)不同的層次，這與用戶的風(fēng)險(xiǎn)防范模型有關(guān)，用戶首先要查找到風(fēng)險(xiǎn)，才能預(yù)防和阻斷風(fēng)險(xiǎn)。而IDS是查找和評(píng)估風(fēng)險(xiǎn)的設(shè)備，IPS是阻斷風(fēng)險(xiǎn)的設(shè)備。防火墻只能做網(wǎng)絡(luò)層的風(fēng)險(xiǎn)阻斷，不能做到應(yīng)用層的風(fēng)險(xiǎn)阻斷。過去，人們曾經(jīng)利用防火墻與IDS聯(lián)動(dòng)的方式實(shí)現(xiàn)應(yīng)用層的風(fēng)險(xiǎn)阻斷，但由于是聯(lián)動(dòng)，阻斷時(shí)間上會(huì)出現(xiàn)滯后，往往攻擊已經(jīng)發(fā)生了才出現(xiàn)阻斷，這種阻斷已經(jīng)失去了意義，IPS就此產(chǎn)生。用一句話概括，IDS是幫助用戶自我評(píng)估、自我認(rèn)知的設(shè)備，而IPS或防火墻是改善控制環(huán)境的設(shè)備。IPS注重的是入侵風(fēng)險(xiǎn)的控制，而IDS注重的是入侵風(fēng)險(xiǎn)的管理。也許有一天，通過IDS，我們能確定到底在什么地方放IPS？到底在什么地方放防火墻？這些設(shè)備應(yīng)該配備哪些策略？并可以通過IDS檢測部署IPS/防火墻的效果如何。IDS與IPS各自的應(yīng)用價(jià)值與部署目標(biāo)【導(dǎo)讀】：從2003年 Gartner公司副總裁Richard Stiennon發(fā)表的《入侵檢測已壽終正寢，入侵防御將萬古長青》報(bào)告引發(fā)的安全業(yè)界震動(dòng)至今，關(guān)于入侵檢測系統(tǒng)與入侵防御系統(tǒng)之間關(guān)系的討論已經(jīng)趨于平淡，2006年IDC年度安全市場報(bào)告更是明確指出入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩個(gè)獨(dú)立的市場，給這個(gè)討論畫上了一個(gè)句號(hào)?？梢哉f，目前無論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認(rèn)為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測系統(tǒng)的可能。但由于入侵防御產(chǎn)品的出現(xiàn)，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產(chǎn)品，什么時(shí)候該選擇入侵防御產(chǎn)品呢？筆者曾見過用戶進(jìn)行產(chǎn)品選擇的時(shí)候在產(chǎn)品類型上寫著“入侵檢測系統(tǒng)或者入侵防御系統(tǒng)”。這說明用戶還不能確定到底使用哪種產(chǎn)品，顯然是因?yàn)閷?duì)兩類產(chǎn)品的區(qū)分不夠清晰所致，其實(shí)從產(chǎn)品價(jià)值以及應(yīng)用角度來分析就可以比較清晰的區(qū)分和選擇兩類產(chǎn)品。從2003年 Gartner公司副總裁Richard Stiennon發(fā)表的《入侵檢測已壽終正寢，入侵防御將萬古長青》報(bào)告引發(fā)的安全業(yè)界震動(dòng)至今，關(guān)于入侵檢測系統(tǒng)與入侵防御系統(tǒng)之間關(guān)系的討論已經(jīng)趨于平淡，2006年IDC年度安全市場報(bào)告更是明確指出入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩個(gè)獨(dú)立的市場，給這個(gè)討論畫上了一個(gè)句號(hào)?？梢哉f，目前無論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認(rèn)為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測系統(tǒng)的可能。但由于入侵防御產(chǎn)品的出現(xiàn)，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產(chǎn)品，什么時(shí)候該選擇入侵防御產(chǎn)品呢？筆者曾見過用戶進(jìn)行產(chǎn)品選擇的時(shí)候在產(chǎn)品類型上寫著“入侵檢測系統(tǒng)或者入侵防御系統(tǒng)”。這說明用戶還不能確定到底使用哪種產(chǎn)品，顯然是因?yàn)閷?duì)兩類產(chǎn)品的區(qū)分不夠清晰所致，其實(shí)從產(chǎn)品價(jià)值以及應(yīng)用角度來分析就可以比較清晰的區(qū)分和選擇兩類產(chǎn)品。從產(chǎn)品價(jià)值角度講：入侵檢測系統(tǒng)注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。用戶進(jìn)行網(wǎng)絡(luò)安全建設(shè)之前，通常要考慮信息系統(tǒng)面臨哪些威脅；這些威脅的來源以及進(jìn)入信息系統(tǒng)的途徑；信息系統(tǒng)對(duì)這些威脅的抵御能力如何等方面的信息。在信息系統(tǒng)安全建設(shè)中以及實(shí)施后也要不斷的觀察信息系統(tǒng)中的安全狀況，了解網(wǎng)絡(luò)威脅發(fā)展趨勢。只有這樣才能有的放矢的進(jìn)行信息系統(tǒng)的安全建設(shè)，才能根據(jù)安全狀況及時(shí)調(diào)整安全策略，減少信息系統(tǒng)被破壞的可能。入侵防御系統(tǒng)關(guān)注的是對(duì)入侵行為的控制。當(dāng)用戶明確信息系統(tǒng)安全建設(shè)方案和策略之后，可以在入侵防御系統(tǒng)中實(shí)施邊界防護(hù)安全策略。與防火墻類產(chǎn)品可以實(shí)施的安全策略不同，入侵防御系統(tǒng)可以實(shí)施深層防御安全策略，即可以在應(yīng)用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當(dāng)然也是入侵檢測產(chǎn)品所做不到的。從產(chǎn)品應(yīng)用角度來講：為了達(dá)到可以全面檢測網(wǎng)絡(luò)安全狀況的目的，入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，即每子網(wǎng)部署一個(gè)入侵檢測分析引擎，并統(tǒng)一進(jìn)行引擎的策略管理以及事件分析，以達(dá)到掌控整個(gè)信息系統(tǒng)安全狀況的目的。而為了實(shí)現(xiàn)對(duì)外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網(wǎng)絡(luò)邊界進(jìn)入網(wǎng)絡(luò)。IDS是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。IPS 能夠識(shí)別事件的侵入、關(guān)聯(lián)、沖擊、方向和適當(dāng)?shù)姆治?，然后將合適的信息和命令傳送給防火墻、交換機(jī)和其它的網(wǎng)絡(luò)設(shè)備以減輕該事件的風(fēng)險(xiǎn)。