IDS or IPS 企业如何做出正确选择(1)

业内关于IDS和IPS的讨论持续以久，Gartner副总裁Richard Stiennon在03年发表的《入侵检测将亡 入侵防御前途看好》引起安全业界的巨大震动，至今用户在考虑企业安全方案的时候，仍然会问到底是选择IDS还是IPS。06年IDC年度安全市场报告指出IDS和IPS是两个独立的市场，至此IDS和IPS有了一个明确的定位。
但是不得不承认对于用户而言，选择IDS还是IPS仍然是个头疼的问题。笔者以为IDS和IPS分别是两种不同作用的安全产品，或者说侧重点是不同的。笔者并不赞同IPS的出现可以替代IDS的地位，就仿佛行为检测技术的出现，仍然需要成熟的特征码检测作为依据一样。
认识入侵检测IDS（Intrusion Detection System）
IDS的核心功能是对各种事件进行分析，从中发现违反安全策略的行为。从技术上讲，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。
对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、未知的攻击。
不得不承认IDS存在一些致命的缺陷，甚至有人认为IDS只报警不采取措施的方式不能保证网络的安全，但笔者认为这种说法是片面的，由于IDS的检测种类方式各不相同，所以不能简单的说只检测就不能有效的抵御网络攻击。因此笔者建议若用户仅仅关注网络安全状况的监控，只需在目标信息系统中部署IDS即可，配以优秀的网络管理人员，就可以解决遇到的大多数安全异常状况。