對于那些考慮使用入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）的企業(yè)來說，最困難的一個任務就是要確定什么時候需要這些技術，以及它們能夠做什么。市面上的產(chǎn)品種類繁多：如防火墻、應用程序防火墻、統(tǒng)一威脅管理（UTM）設備、異常監(jiān)測和入侵防護等，企業(yè)很難從中做出選擇，也很難確定哪些產(chǎn)品是最適合自己的。

有的企業(yè)可能還在研究是否可以用IPS代替IDS，或者是否有必要同時使用這兩種產(chǎn)品進行全方位的保護。分層的安全和不正確的操作之間通常存在著明顯的界限。在本文中我們會對IDS和IPS進行一次對比，其中包括：兩種技術能夠提供的基本功能以及保護類型、兩種技術在實際應用中的區(qū)別以及這兩種技術的幾個常用實例。

IDS vs.IPS：保護范圍

對于不太熟悉IDS的人來說，IDS是一種監(jiān)視未授權或者惡意網(wǎng)絡活動的軟件或者設備。IDS使用預先設定的規(guī)則，檢查網(wǎng)絡端點配置，確定它們是否容易受到攻擊（這叫做基于主機的IDS）；它還可以記錄網(wǎng)絡中的活動，并與已知的攻擊或者攻擊類型進行對比（這叫做基于網(wǎng)絡的IDS）。該技術已經(jīng)存在很多年了，而且里面添加了各種附加功能，其中包括高級簽名。而且，免費的開源IDS產(chǎn)品（比如Snort 和OSSEC）也很受歡迎。

反之，IPS不僅能夠監(jiān)測由惡意代碼、僵尸網(wǎng)絡、病毒以及有針對性的攻擊引起的不良數(shù)據(jù)包，還能夠在破壞發(fā)生之前采取行動，從而保護網(wǎng)絡。你可能認為你的網(wǎng)絡不值得黑客去攻擊，但是你要知道許多犯罪分子會使用自動掃描來探測互聯(lián)網(wǎng)，對每個網(wǎng)絡都進行探測，以便記錄漏洞，供日后使用。這些攻擊者可能在尋找特定的敏感數(shù)據(jù)或知識產(chǎn)權，或者對任何到手的東西都感興趣，比如說員工信息、財務記錄或者客戶數(shù)據(jù)等。

在基礎設施中的惡意軟件引起破壞之前，性能良好的IDS或者IPS就能夠有效地識別它們。比如，我們假設攻擊者試圖在你的網(wǎng)絡中偷偷放入一個木馬。該惡意代碼可能已經(jīng)將木馬放入，并可能在靜靜地等待時機。這是開始的狀態(tài)，激活后它會變成嚴重威脅。如果裝有合適的入侵檢測系統(tǒng)，當攻擊者試圖激活該惡意代碼時，IDS或者IPS就會識別這種活動并立即采取措施，要么報警，要么進行防御。

不過，那些用來監(jiān)測普通網(wǎng)絡的傳統(tǒng)防火墻很有可能對這種攻擊一無所知。如果此類攻擊附著在看起來正常的網(wǎng)絡流量中，也有可能避開異常監(jiān)測引擎。這些技術和入侵檢測與防御系統(tǒng)的區(qū)別在于IDS/IPS可以進行更深層次的包監(jiān)測，不僅分析數(shù)據(jù)包的來源和去向，而且還能分析它的內(nèi)容，以此確定它們是否在對系統(tǒng)發(fā)起攻擊。這些數(shù)據(jù)是決定包的特性是否與未授權或者惡意行動相對應的關鍵，這種情況可能是攻擊的前兆。當攻擊者采用畸形的或者老式數(shù)據(jù)包來偽裝一次攻擊時，IDS/IPS技術能夠更加智能地處理危險的攻擊內(nèi)容。

IDS vs.IPS: 兩種技術的區(qū)別

行業(yè)中人們對此有幾種觀點：有人認為IDS和IPS是獨立的、可持續(xù)的技術；有人認為IDS是一種逐漸過時的技術，應該被IPS替代。在對IDS和IPS進行比較時，我更傾向于前者；IDS系統(tǒng)有許多具體的使用案例，比如，當信息安全人員需要識別攻擊或者漏洞，而不需要采取任何措施的時候。這種檢測最明顯的使用案例包括：不需要停止攻擊（收集數(shù)據(jù)或者監(jiān)視蜜罐）的情況；安全團隊沒有權限去停止攻擊（如果所觀察的網(wǎng)絡不是我們的）的情況；還有當我們想要監(jiān)測日志，需要跨越安全來進行的情況。舉個很好的例子：沒有足夠資金支付與主要生產(chǎn)合作伙伴的服務器連接的制造企業(yè)。在這種情況下，企業(yè)可以決定犧牲即時安全（immediate security）來獲取持續(xù)的商業(yè)運作。類似的，IPS最適用于需要監(jiān)測并阻止或防御攻擊的企業(yè)，因為安全是這些企業(yè)最重要的東西，企業(yè)需要積極主動地保護重要資產(chǎn)；而IDS只能顯示出攻擊的存在，阻止入侵則是管理員的事情。

我們來看以下幾種情況，來了解IDS和IPS是如何處理它們的。

處理已知的漏洞

應用程序和主機類型眾多的企業(yè)可能會發(fā)現(xiàn)，將預定義和自定義規(guī)則結合起來，也是一個處理應用程序或者業(yè)務過程缺陷的權宜之計。如果企業(yè)不中斷其他的主機功能，就不能為某個系統(tǒng)打補丁，那么IPS可能是下一步最好的選擇，因為適當?shù)腎PS規(guī)則可以在入侵到達服務器之前就對已知漏洞進行防護。

IDS和IPS能夠模擬主機響應，這讓它們可以發(fā)現(xiàn)、阻止或者警告對受保護的服務器有負面作用或者去破解數(shù)據(jù)的攻擊。這些措施可以用在網(wǎng)絡之間的網(wǎng)關上（很像防火墻），或者用在處于受保護資源之前的內(nèi)部基礎設施中。在保護Web服務器或者其他能夠訪問互聯(lián)網(wǎng)的應用程序或者設備不受外部攻擊時，我們推薦使用網(wǎng)關或者面向外界的方法；而在保護特定的高價值資產(chǎn)時，我們推薦使用內(nèi)部保護，比如有些惡意軟件會從可信端點攻擊任務優(yōu)先的應用程序服務器，有時甚至還可能會存在內(nèi)部攻擊等。

相關數(shù)據(jù)

受歡迎的IDS和IPS設備提供非常全面的日志記錄和數(shù)據(jù)收集功能。即便沒有任何行動的警報，系統(tǒng)在受到攻擊之后，從這些設備和傳感器中收集到的數(shù)據(jù)也可用于事件關聯(lián)（event correlation）和網(wǎng)絡取證。比如，如果發(fā)現(xiàn)一些關鍵的生產(chǎn)服務器被入侵或者受到攻擊，擁有IDS和IPS的企業(yè)在試圖分離出導致這次入侵的事件時會有相當大的優(yōu)勢。這種數(shù)據(jù)在攻擊期間和攻擊之后都是分析的關鍵，而且對企業(yè)的事件響應和規(guī)則遵從審計會有所幫助。

結論

入侵檢測系統(tǒng)像其他事物一樣，都是服務于業(yè)務宗旨或者滿足一個目標。這些僅僅是最常見的IDS和IPS使用案例，本文只是提供了最基本的東西，便于大家理解這種技術是否滿足企業(yè)要求。如果你的環(huán)境中有重要系統(tǒng)、秘密數(shù)據(jù)或者必須遵守嚴格的規(guī)則遵從，那么我推薦使用IDS、IPS或者兩者一起?；仡櫳鲜鍪褂冒咐?，你可以判定你的企業(yè)是否會從入侵防護系統(tǒng)中受益。

作者：Jennifer Jabbusch

【編輯推薦】

1. Snort：一款廣受歡迎的開源IDS(入侵檢測系統(tǒng))工具
2. 五大入侵檢測系統(tǒng)對黑客說不
3. IPS(入侵防護系統(tǒng))與WAF(Web應用防護系統(tǒng))的區(qū)別
4. 揭秘能避開入侵防御系統(tǒng)的新惡意軟件技術