IDS vs.IPS: 两种技术的区别

　　行业中人们对此有几种观点：有人认为IDS和IPS是独立的、可持续的技术;有人认为IDS是一种逐渐过时的技术，应该被IPS替代。在对IDS和IPS进行比较时，我更倾向于前者;IDS系统有许多具体的使用案例，比如，当信息安全人员需要识别攻击或者漏洞，而不需要采取任何措施的时候。这种检测最明显的使用案例包括：不需要停止攻击(收集数据或者监视蜜罐)的情况;安全团队没有权限去停止攻击(如果所观察的网络不是我们的)的情况;还有当我们想要监测日志，需要跨越安全来进行的情况。举个很好的例子：没有足够资金支付与主要生产合作伙伴的服务器连接的制造企业。在这种情况下，企业可以决定牺牲即时安全(immediate security)来获取持续的商业运作。类似的，IPS最适用于需要监测并阻止或防御攻击的企业，因为安全是这些企业最重要的东西，企业需要积极主动地保护重要资产;而IDS只能显示出攻击的存在，阻止入侵则是管理员的事情。

　　我们来看以下几种情况，来了解IDS和IPS是如何处理它们的。

　　处理已知的漏洞

　　应用程序和主机类型众多的企业可能会发现，将预定义和自定义规则结合起来，也是一个处理应用程序或者业务过程缺陷的权宜之计。如果企业不中断其他的主机功能，就不能为某个系统打补丁，那么IPS可能是下一步最好的选择，因为适当的IPS规则可以在入侵到达服务器之前就对已知漏洞进行防护。

　　IDS和IPS能够模拟主机响应，这让它们可以发现、阻止或者警告对受保护的服务器有负面作用或者去破解数据的攻击。这些措施可以用在网络之间的网关上(很像防火墙)，或者用在处于受保护资源之前的内部基础设施中。在保护Web服务器或者其他能够访问互联网的应用程序或者设备不受外部攻击时，我们推荐使用网关或者面向外界的方法;而在保护特定的高价值资产时，我们推荐使用内部保护，比如有些恶意软件会从可信端点攻击任务优先的应用程序服务器，有时甚至还可能会存在内部攻击等。

　　相关数据

　　受欢迎的IDS和IPS设备提供非常全面的日志记录和数据收集功能。即便没有任何行动的警报，系统在受到攻击之后，从这些设备和传感器中收集到的数据也可用于事件关联(event correlation)和网络取证。比如，如果发现一些关键的生产服务器被入侵或者受到攻击，拥有IDS和IPS的企业在试图分离出导致这次入侵的事件时会有相当大的优势。这种数据在攻击期间和攻击之后都是分析的关键，而且对企业的事件响应和规则遵从审计会有所帮助。

　　结论

　　入侵检测系统像其他事物一样，都是服务于业务宗旨或者满足一个目标。这些仅仅是最常见的IDS和IPS使用案例，本文只是提供了最基本的东西，便于大家理解这种技术是否满足企业要求。如果你的环境中有重要系统、秘密数据或者必须遵守严格的规则遵从，那么我推荐使用IDS、IPS或者两者一起。回顾上述使用案例，你可以判定你的企业是否会从入侵防护系统中受益。