入侵检测系统和入侵防御系统

　　互联网已成为当今世界不可缺少的一部分，它使地球成为信息网络村，实现资源的共享，但是与此同时还存在一个黑暗面，互联网变成网络犯罪分子的天堂。网络安全问题作为一个无法避免的问题摆在人们面前，这种情况下， IDS和IPS就构成了网络安全体系中不可或缺的组成部分。

　　IDS（Intrusion Detection Systems，入侵检测系统），专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监控，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
　　我们做一个比喻，假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监控系统。一旦小偷进入大厦，或内部人员有越界行为，只有实时监控系统才能发现过去情况并发出警告。
　　IDS对网络信息进行分析，发现恶意活动时就立即报警。在攻击开始后他们一般都能够发出特殊报文复位TCP连接，有些甚至可以与防火墙系统连接，马上重写防火墙的规则集。
　　IDS有两种基本类型，即特征型和启发型，运行在工作站上的IDS被称为主机入侵检测系统（HIDS），而那些独立在网络上运行的设备被称为网络入侵检测系统（NIDS）。HIDS利用其主机的资源，在主机上监测信息流检测攻击。NIDS作为一种独立设备在网络上监测信息流检测攻击。NIDS也有两种形式，特征型NIDS和启发型NIDS。这两种类型提供了不同程度的网络入侵检测。
　　与防火墙不同的是，IDS入侵检测是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有关注的流量都必须流经的链路上。再这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
　　早期的IDS系统通过查找任何异常的通信发挥作用，当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说，查找异常通信方式会产生很多错误的报告。经过一段时间之后，管理员会对收到过多的错误警报感到厌烦，从而完全忽略IDS系统的警告。
　　IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击，它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之，由于IDS系统会产生很多的错误报告，你真的愿意让IDS系统对合法的网络通信采取行动吗?
　　在过去的几年里，IDS系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动，IDS系统就发出这个攻击的报告。
　　比较新的IDS系统比以前的系统更准确一些。但是，这个数据库需要不断地更新以保持有效性。而且，如果发生了攻击并且在数据库中没有相匹配的签名，这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击，IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。
　　这就是入侵防御系统(IPS)的任务了。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。
　　IPS（Intrusion Prevention System，入侵防御系统），可以简单的理解为，ISP就是防火墙加上入侵检测系统，但并不是ISP可以代替防火墙或入侵检测系统。防火墙是粒度缴存的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能，甚至有的防火墙还能提供VPN功能。
　　和防火墙比较起来，IPS的功能比较单一，它只能串联在网络上（类似于通常所说的网桥式防火墙），对防火墙所不能过滤的攻击进行过滤。这样一个两级的过滤模式，可以最大地保证系统的安全。一般来说，企业用户关注的是自己的网络能否避免被攻击，对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处，在一些专业的机构，或对网络安全要求比较高的地方，入侵检测系统和其他审计跟踪产品结合，可以提供针对企业信息资源全面的审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
　　IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。早在1980年，IDS的概念就已经产生了。在1990年，出现了世界上第一个网络入侵检测系统。在早期，网络入侵检测产品存在着各种各样的问题，例如误报、漏报太多，运行不够稳定，高负载下性能太差，不能进行连接状态分析等等，但经过10多年的发展，IDS产品不断成熟，从而使得IPS产品的产生有了稳固的基础。可以想象一下一个有着很高误报率的IPS系统会使管理员多么恼火。幸好网络安全技术的发展使得对于攻击的识别率越来越高，从而将误报率控制在用户可以接受的水平。
　　对于初始者来说，IPS位于你的防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下，IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。
　　IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。
　　正如你所看到的，IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。
　　阅读更多内容，欢迎登陆课课家教育或关注公众号【课课家】/【课课家IT教育】。