對(duì)于那些考慮使用入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）的企業(yè)來說，最困難的一個(gè)任務(wù)就是要確定什么時(shí)候需要這些技術(shù)，以及它們能夠做什么。市面上的產(chǎn)品種類繁多：如防火墻、應(yīng)用程序防火墻、統(tǒng)一威脅管理（UTM）設(shè)備、異常監(jiān)測和入侵防護(hù)等，企業(yè)很難從中做出選擇，也很難確定哪些產(chǎn)品是最適合自己的。

有的企業(yè)可能還在研究是否可以用IPS代替IDS，或者是否有必要同時(shí)使用這兩種產(chǎn)品進(jìn)行全方位的保護(hù)。分層的安全和不正確的操作之間通常存在著明顯的界限。在本文中我們會(huì)對(duì)IDS和IPS進(jìn)行一次對(duì)比，其中包括：兩種技術(shù)能夠提供的基本功能以及保護(hù)類型、兩種技術(shù)在實(shí)際應(yīng)用中的區(qū)別以及這兩種技術(shù)的幾個(gè)常用實(shí)例。

IDS vs.IPS：保護(hù)范圍

對(duì)于不太熟悉IDS的人來說，IDS是一種監(jiān)視未授權(quán)或者惡意網(wǎng)絡(luò)活動(dòng)的軟件或者設(shè)備。IDS使用預(yù)先設(shè)定的規(guī)則，檢查網(wǎng)絡(luò)端點(diǎn)配置，確定它們是否容易受到攻擊（這叫做基于主機(jī)的IDS）；它還可以記錄網(wǎng)絡(luò)中的活動(dòng)，并與已知的攻擊或者攻擊類型進(jìn)行對(duì)比（這叫做基于網(wǎng)絡(luò)的IDS）。該技術(shù)已經(jīng)存在很多年了，而且里面添加了各種附加功能，其中包括高級(jí)簽名。而且，免費(fèi)的開源IDS產(chǎn)品（比如Snort 和OSSEC）也很受歡迎。

反之，IPS不僅能夠監(jiān)測由惡意代碼、僵尸網(wǎng)絡(luò)、病毒以及有針對(duì)性的攻擊引起的不良數(shù)據(jù)包，還能夠在破壞發(fā)生之前采取行動(dòng)，從而保護(hù)網(wǎng)絡(luò)。你可能認(rèn)為你的網(wǎng)絡(luò)不值得黑客去攻擊，但是你要知道許多犯罪分子會(huì)使用自動(dòng)掃描來探測互聯(lián)網(wǎng)，對(duì)每個(gè)網(wǎng)絡(luò)都進(jìn)行探測，以便記錄漏洞，供日后使用。這些攻擊者可能在尋找特定的敏感數(shù)據(jù)或知識(shí)產(chǎn)權(quán)，或者對(duì)任何到手的東西都感興趣，比如說員工信息、財(cái)務(wù)記錄或者客戶數(shù)據(jù)等。

在基礎(chǔ)設(shè)施中的惡意軟件引起破壞之前，性能良好的IDS或者IPS就能夠有效地識(shí)別它們。比如，我們假設(shè)攻擊者試圖在你的網(wǎng)絡(luò)中偷偷放入一個(gè)木馬。該惡意代碼可能已經(jīng)將木馬放入，并可能在靜靜地等待時(shí)機(jī)。這是開始的狀態(tài)，激活后它會(huì)變成嚴(yán)重威脅。如果裝有合適的入侵檢測系統(tǒng)，當(dāng)攻擊者試圖激活該惡意代碼時(shí)，IDS或者IPS就會(huì)識(shí)別這種活動(dòng)并立即采取措施，要么報(bào)警，要么進(jìn)行防御。

不過，那些用來監(jiān)測普通網(wǎng)絡(luò)的傳統(tǒng)防火墻很有可能對(duì)這種攻擊一無所知。如果此類攻擊附著在看起來正常的網(wǎng)絡(luò)流量中，也有可能避開異常監(jiān)測引擎。這些技術(shù)和入侵檢測與防御系統(tǒng)的區(qū)別在于IDS/IPS可以進(jìn)行更深層次的包監(jiān)測，不僅分析數(shù)據(jù)包的來源和去向，而且還能分析它的內(nèi)容，以此確定它們是否在對(duì)系統(tǒng)發(fā)起攻擊。這些數(shù)據(jù)是決定包的特性是否與未授權(quán)或者惡意行動(dòng)相對(duì)應(yīng)的關(guān)鍵，這種情況可能是攻擊的前兆。當(dāng)攻擊者采用畸形的或者老式數(shù)據(jù)包來偽裝一次攻擊時(shí)，IDS/IPS技術(shù)能夠更加智能地處理危險(xiǎn)的攻擊內(nèi)容。

IDS vs.IPS: 兩種技術(shù)的區(qū)別

行業(yè)中人們對(duì)此有幾種觀點(diǎn)：有人認(rèn)為IDS和IPS是獨(dú)立的、可持續(xù)的技術(shù)；有人認(rèn)為IDS是一種逐漸過時(shí)的技術(shù)，應(yīng)該被IPS替代。在對(duì)IDS和IPS進(jìn)行比較時(shí)，我更傾向于前者；IDS系統(tǒng)有許多具體的使用案例，比如，當(dāng)信息安全人員需要識(shí)別攻擊或者漏洞，而不需要采取任何措施的時(shí)候。這種檢測最明顯的使用案例包括：不需要停止攻擊（收集數(shù)據(jù)或者監(jiān)視蜜罐）的情況；安全團(tuán)隊(duì)沒有權(quán)限去停止攻擊（如果所觀察的網(wǎng)絡(luò)不是我們的）的情況；還有當(dāng)我們想要監(jiān)測日志，需要跨越安全來進(jìn)行的情況。舉個(gè)很好的例子：沒有足夠資金支付與主要生產(chǎn)合作伙伴的服務(wù)器連接的制造企業(yè)。在這種情況下，企業(yè)可以決定犧牲即時(shí)安全（immediate security）來獲取持續(xù)的商業(yè)運(yùn)作。類似的，IPS最適用于需要監(jiān)測并阻止或防御攻擊的企業(yè)，因?yàn)榘踩沁@些企業(yè)最重要的東西，企業(yè)需要積極主動(dòng)地保護(hù)重要資產(chǎn)；而IDS只能顯示出攻擊的存在，阻止入侵則是管理員的事情。

我們來看以下幾種情況，來了解IDS和IPS是如何處理它們的。

處理已知的漏洞

應(yīng)用程序和主機(jī)類型眾多的企業(yè)可能會(huì)發(fā)現(xiàn)，將預(yù)定義和自定義規(guī)則結(jié)合起來，也是一個(gè)處理應(yīng)用程序或者業(yè)務(wù)過程缺陷的權(quán)宜之計(jì)。如果企業(yè)不中斷其他的主機(jī)功能，就不能為某個(gè)系統(tǒng)打補(bǔ)丁，那么IPS可能是下一步最好的選擇，因?yàn)檫m當(dāng)?shù)腎PS規(guī)則可以在入侵到達(dá)服務(wù)器之前就對(duì)已知漏洞進(jìn)行防護(hù)。

IDS和IPS能夠模擬主機(jī)響應(yīng)，這讓它們可以發(fā)現(xiàn)、阻止或者警告對(duì)受保護(hù)的服務(wù)器有負(fù)面作用或者去破解數(shù)據(jù)的攻擊。這些措施可以用在網(wǎng)絡(luò)之間的網(wǎng)關(guān)上（很像防火墻），或者用在處于受保護(hù)資源之前的內(nèi)部基礎(chǔ)設(shè)施中。在保護(hù)Web服務(wù)器或者其他能夠訪問互聯(lián)網(wǎng)的應(yīng)用程序或者設(shè)備不受外部攻擊時(shí)，我們推薦使用網(wǎng)關(guān)或者面向外界的方法；而在保護(hù)特定的高價(jià)值資產(chǎn)時(shí)，我們推薦使用內(nèi)部保護(hù)，比如有些惡意軟件會(huì)從可信端點(diǎn)攻擊任務(wù)優(yōu)先的應(yīng)用程序服務(wù)器，有時(shí)甚至還可能會(huì)存在內(nèi)部攻擊等。

相關(guān)數(shù)據(jù)

受歡迎的IDS和IPS設(shè)備提供非常全面的日志記錄和數(shù)據(jù)收集功能。即便沒有任何行動(dòng)的警報(bào)，系統(tǒng)在受到攻擊之后，從這些設(shè)備和傳感器中收集到的數(shù)據(jù)也可用于事件關(guān)聯(lián)（event correlation）和網(wǎng)絡(luò)取證。比如，如果發(fā)現(xiàn)一些關(guān)鍵的生產(chǎn)服務(wù)器被入侵或者受到攻擊，擁有IDS和IPS的企業(yè)在試圖分離出導(dǎo)致這次入侵的事件時(shí)會(huì)有相當(dāng)大的優(yōu)勢。這種數(shù)據(jù)在攻擊期間和攻擊之后都是分析的關(guān)鍵，而且對(duì)企業(yè)的事件響應(yīng)和規(guī)則遵從審計(jì)會(huì)有所幫助。

結(jié)論

入侵檢測系統(tǒng)像其他事物一樣，都是服務(wù)于業(yè)務(wù)宗旨或者滿足一個(gè)目標(biāo)。這些僅僅是最常見的IDS和IPS使用案例，本文只是提供了最基本的東西，便于大家理解這種技術(shù)是否滿足企業(yè)要求。如果你的環(huán)境中有重要系統(tǒng)、秘密數(shù)據(jù)或者必須遵守嚴(yán)格的規(guī)則遵從，那么我推薦使用IDS、IPS或者兩者一起。回顧上述使用案例，你可以判定你的企業(yè)是否會(huì)從入侵防護(hù)系統(tǒng)中受益。

作者：Jennifer Jabbusch

【編輯推薦】

1. Snort：一款廣受歡迎的開源IDS(入侵檢測系統(tǒng))工具
2. 五大入侵檢測系統(tǒng)對(duì)黑客說不
3. IPS(入侵防護(hù)系統(tǒng))與WAF(Web應(yīng)用防護(hù)系統(tǒng))的區(qū)別
4. 揭秘能避開入侵防御系統(tǒng)的新惡意軟件技術(shù)