对IPS的两点质疑

越来越多的人开始关注IPS，而且IPS的厂商也在宣称他们实现了从IDS的被动防御到IPS主动防御的质变。但是，某位在安全领域里面工作了多年的工程师，对IPS还是提出了两点疑问。让我们一起来看看。

1、IPS所谓的主动防御，其基础必然是入侵检测，只有检测到攻击，才可能作出防御的响应动作。IDS引擎的露报和误报是一直存在的一个困扰，除非IPS真的使用与IDS完全不同的检测机制，否则的话，他们如何克服这个困扰IDS的问题，如果入侵检测都无法圆满解决，以后的防御又从何谈起呢？

2、如果不能解决检测引擎的技术难题，那么这种IPS产品以在线安装的方式，不可避免对关键的应用流量产生影响，这可能是很严重的影响，IDS虽然面临同样的技术难题，但是其旁路安装的特点，决定了它的误报和露报不会对正常的业务流量产生非常严重的影响。安全性和可用性比起来，显然可用性更基础、更重要。

所以说，IDS和IPS是两种互不相同的技术。IPS侧重访问控制，IDS侧重网络监控。IPS注重实施策略，IDS注重安全审查。IDS的职责不是保护网络，而是告诉你网络的安全状况。归根结底，IPS如果能够解决入侵检测引擎的问题，解决深度分析的性能问题，其必然是安全的一个优秀选择，但是，现在的IPS系统能够做的到么？

现在有些客户表达了对IPS系统的关注，我觉得应该在提供咨询服务的时候，站在一个公正客观的立场上，不要不切实际的吹捧IPS，也不要把IDS一棒子打死，IPS现在到底值不值得推荐给客户，还有待检验。