三个维度区分IDS与IPS

中国人民银行的张涨是IDS的骨灰级用户，对IDS玩得非常熟，但即使这样，他也仅仅是听说IPS而已，并没有真正使用和见过。他的担心是：IPS既然是网络威胁的阻断设备，误报、

误阻影响网络的连通性怎么办？北京银行的魏武中也认为，如果在网络的入口处，串接了一串安全设备：IPS、防火墙/VPM以及杀病毒网关等，怎么保证网络的效率？是否会因增添一种新的设备而引起新的单点故障的风险？

事实上，这些疑问一直如影随形地伴随着IPS的诞生和发展。以至于，在很多用户的安全设备的采购清单中，一直在出现“IDS或IPS”的选择，这证明用户依然不了解这两种技术的差别。

启明星辰公司的产品管理中心总监万卿认为，现在是重新审视这两种技术的时候了。他认为，要从三个维度上认清这两种技术的不同。

从趋势看差别

2004年，Gartner的报告曾经预言IDS即将死亡，但无论从用户的需求还是从厂商的产品销售来看，IDS依然处于旺盛的需求阶段，比如，国内最大的IDS生产厂商启明星辰公司，今年上半年IDS的增长超过了50％，并且，公司最大的赢利来源依然是IDS，事实证明，IDS即将死亡的论断是错误的。

万卿认为，IDC的报告是准确的，IDS和IPS分属两种不同产品领域，前者是一种检测技术，而后者是一种阻断技术，只不过后者阻断攻击的依据是检测，因此要用到很多的检测技术，很多用户就此搞混了。

从理论上看，IDS和IPS是分属两个不同的层次，这与用户的风险防范模型有关，用户首先要查找到风险，才能预防和阻断风险。而IDS是查找和评估风险的设备，IPS是阻断风险的设备。防火墙只能做网络层的风险阻断，不能做到应用层的风险阻断。过去，人们曾经利用防火墙与IDS联动的方式实现应用层的风险阻断，但由于是联动，阻断时间上会出现滞后，往往攻击已经发生了才出现阻断，这种阻断已经失去了意义，IPS就此产生。

用一句话概括，IDS是帮助用户自我评估、自我认知的设备，而IPS或防火墙是改善控制环境的设备。IPS注重的是入侵风险的控制，而IDS注重的是入侵风险的管理。也许有一天，通过IDS，我们能确定到底在什么地方放IPS？到底在什么地方放防火墙？这些设备应该配备哪些策略？并可以通过IDS检测部署IPS/防火墙的效果如何。

2

诺言

如果您对“三个维度区分IDS与IPS”有任何疑问要咨询，或者您对我们专家的解答有任何疑义，请您点击以下的链接提交意向单，我们的编辑和信息化专家将会很快为您做出回答，您提供的信息经过审核后将有机会出现在我们的网页上。

从需求看差别

从用户对产品的需求看，两者之间也存在巨大差别。

对IDS，人们希望它能呈现攻击，要求呈现得越全面越好。对IPS，人们对它的需求有三个方面，首先是精确阻断，这是核心，是

评价一款IPS好坏的最关键指标，也是IPS区别于IDS的重要指标，IDS不会仔细考虑攻击的准确性，而IPS必须考虑，因此，需要厂商 对攻击进行清楚的定义，并精确阻断攻击，准确率甚至要求达到100%；其次是防御及时，目前每天公布的攻击有22个之多，如果防御不及时，就会出现很多漏洞代码; 第三是效率要高，因为是在线部署的，效率低会直接影响网络性能。

IDS呈现的事件，绝对不能等同于IPS精确阻断的事件。因为，很多异常行为并不是入侵攻击，只需要让网管员了解就可以了，而不需要阻断。比如一个很特殊的访问过程，也许并不是攻击，但是对于IDS来讲，它可能需要告警，要让用户了解到这种异常状况，但是对IPS来讲，未必要阻断。所以IDS和IPS的的特征库、事件库有着本质的区别，是完全不同的。

从部署上看，目前可共分三种不同的部署情况，第一种是只需要IPS，不需要IDS，这种用户是只关注风险控制，不关注风险管理的单位，可以归类为低风险的行业。第二种是既需要IDS，也需要IPS的高风险行业；第三种是只需要IDS，不需要IPS的监管机构，只做监管，不做防御，比如远程监控中心。

从发展看差别

正因为有上述的不同，因此，这两种产品未来的发展道路也完全不同。从物理层次看，这两种技术无法融合，IPS和IDS资源消耗的重点不一样，IPS多了一个存储转发的过程，先要存储，然后进行分析，分析完后，再进行转发。IDS则不同，关注的是检测事件，怎么样更有效、更清晰地呈现给用户问题，然后让用户找到改进的办法。

因此，对IPS，厂商的技术发展策略重点是突出精确，比如启明星辰，对IPS的技术发展路线是将基于特征的检测和基于原理的检测进行融合，进行交叉验证，来保证要阻断的内容、对象等，确确实实就是攻击。为了保证及时性，启明星辰建立了两个非常重要的部门，一个是攻防实验室，一个是信息安全的博士后工作站，攻防实验室天天在研究漏洞、研究攻击，一旦发现新的攻击，就把这个特征定义清楚，放到特征库中。如果特征不唯一，就提交给信息安全博士后工作站，他们会结合这个攻击躲避的原理，来设计躲避机制和算法。形成一个新模块，纳入到产品的检测引擎中去，并不只是简单地在特征库中增加一个特征。

而IDS的发展防线，则是增强数据汇总、统计、关联分析、报表的呈现能力，是全面检测，IDS的发展目标是检测面越来越全，包括入侵、违规、异常甚至病毒等。同时，检测结果越来越具有可理解性，与事件进行关联，给出事件判断的依据，让网络管理员更容易看懂。

这三个维度呈现了IDS与IPS作为两种不同产品的巨大差别。

1

诺言

如果您对“三个维度区分IDS与IPS”有任何疑问要咨询，或者您对我们专家的解答有任何疑义，请您点击以下的链接提交意向单，我们的编辑和信息化专家将会很快为您做出回答，您提供的信息经过审核后将有机会出现在我们的网页上。