IDS与IPS

摘要：IDS和IPS在网络安全保护方面各有利弊，通过分析两者的优势和缺陷，发现IDS主要适用于对来自网络的威胁的检测预防，而IPS技术在IDS的功能上增加了响应和主动防御功能。因此，在当前网络防御技术发展不太成熟的时候，需将IPS、防火墙、IDS等网络安全技术相结合在一起使用，才能有效的保证网络安全。

关键词：网络安全；IDS和IPS；优势比较

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 12-0000-01

IDS and IPS

Zhao Lixia,Zhang Xiaohong

(Qinghua Machinery Factory Information Center,Changzhi046012,China)

Abstract:IDS and IPS have their different advantages and disadvantages in Network Protection,by analyzing theirs strengths and weaknesses,we could discovers IPS have advantages in threat of detection and prevention.IPS technology Increase functional response and active defense capabilities.Therefore,In the case of the current network defense technology has not ripe,we should Integrated use of IPS,firewall,IDS and other network security technology,in order to ensure network security.

Keywords:Network security;IDS and IPS;Advantages compared

近年来，网络所面临的安全问题越来越复杂，安全威胁在飞速增长，尤其混合威胁的风险，如黑客攻击，蠕虫病毒，木马后门，间谍软件，僵尸网络，DDOS攻击，垃圾邮件以及网络资源滥用（P2P下载，IM即时通信，网络游戏，视频点播，极大地困扰着用户，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵，保证计算机网络系统的安全和正常运行，已经成为所有网络必须面对面的一个重要问题。

一、IDS的特征

（一）IDS（intrusion detection system入侵检测系统）

作为一种网络安全的监测设备，是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。IDS是一个监听设备，无须串接在任何链路中，也无须网络流量流经该设备，即可监测到网络中的异常传输，是网络中的一个窃听设备，时刻关注着网络中的数据传输。IDS能检测到的攻击类型包括：系统扫描（system scanning）、拒绝服务（deny of service）和系统渗透（system penetration）。IDS对攻击的检测方法主要包括：被动、非在线发现和实时、在线的发现计算机网络中的攻击者。它的优势是监听网络流量，但又不影响网络的性能，它能够快速发现网络攻击的发生，扩展系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应等，提高了信息安全基础的完整性。它一般安装在内部网的入口处，用于检测入侵和内部用户的非法活动，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前进行拦截和响应入侵处理。

（二）IDS的优势和缺陷

整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型，对用户当前的行为进行判断，及时发现入侵事件。对于入侵与异常不必做出阻断通信的决定，提供大量的网络活动数据，有利于事后分析评估系统关键资源和数据文件的完整性。独立于所检测的网络，使黑客难于消除入侵证据，便于追踪取证。缺陷是检测效果不理想，很多IDS一天能发出上千条虚假报警信息，让人目不暇接，而漏报的后果就更严重。只能检测，不能防御。无法把攻击防御在网络之外。

二、IPS

（一）IPS（intrusion prevention system，入侵防御系统）

工作于串联方式，实现网络数据流的捕获，检测引擎综合特征检测、异常检测、DOS检测、缓冲区溢出检测等多种手段，使用硬件加速技术进行深层数据包分析处理，能高效、准确地检测和防御已知未知的攻击及DOS攻击，实施多种响应方式，如丢弃数据包，终止会话，修改防火墙策略，实时生成警报和日志记录等。

（二）IPS的优势与缺陷

实时阻断，能够预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失。IPS对所有流经它的数据包均采用并行处理方式进行过滤匹配，实现在一个时钟周期内，遍历所在数据包过滤器，而协议重组分析是指所有流经IPS的数据包，必须先经过硬件级预处理，完成数据包的重组，确定其具体应用协议，根据不同应用协议的特征与攻击方式IPS对于重组后的包进行筛选，并将可疑者送入专门的特征库进行比对，从而提高检测的质量和效率。它允许植入特殊的规则阻止恶意代码，同时它又能够辅助实施可接收应用策略。缺陷是：单点故障，设计要求IPS必须以嵌入模式工作在网络中，可能造成瓶颈问题或单点故障；性能瓶颈，由于IPS往往被串联于网络出口，即使IPS设备不出现故障，它仍然是一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率；误报与漏报，在繁忙的网络中，一旦生成了警报，最基本的要求就是IPS能够对警报进行有效的处理，如果入侵特征编写的不是十分完善，误报就成了可乘之机，导致合法流量也有可能被意外拦截。

三、结论

IPS是在IDS的基础上发展而来的，IDS是一种网络安全系统，当有黑客或恶意用户试图进入网络时，可以将其检测出来，并进行报警，同时通知管理员采取措施进行响应。IPS技术在IDS监测的功能上又增加了主动响应的功能键，发现攻击行为，立即响应，主动切断连接。IDS是一个以检测和发现为特征的技术行为，追求的是误报率和漏报率的降低，但其最大的问题在于只能检测攻击不能阻止攻击，IPS是将防火墙、IDS、防病毒和脆弱性评估等技术的优点与自动防止攻击的能力融为一体，最显著的特征是具有主动防御功能，但是，当前技术发展不是非常成熟，将IPS、防火墙、IDS等网络安全技术相结合在一起使用，才能有效的保证网络安全。

[作者简介]赵丽霞（1968-），女，本科，研究方向：网络与信息安全，现供职于长治清华机械厂信息中心；张晓宏（1981-），男，本科，研究方向：计算机应用网络与信息安全，现供职于长治清华机械厂信息中心。