本文主要對比分析了入侵檢測系統(tǒng)、 入侵防御系統(tǒng)以及 “防火墻+入侵檢測系統(tǒng)” 聯(lián)動防護機制這三種網(wǎng)絡(luò)安全方案，討論了其優(yōu)缺點和未來發(fā)展方向

1.       IDS的主要不足和IPS的主要優(yōu)勢

1.1  IDS的主要不足

（1）誤報、漏報率高

IDS系統(tǒng)在識別 “大規(guī)模組合式、 分布式入侵攻擊” 方面，還沒有較好的解決方法，誤報與漏報現(xiàn)象嚴重。 誤報使得大量的報警事件分散管理員的精力， 反而無法對真正的攻擊作出反應(yīng)。 與誤報相對應(yīng)的是漏報， 隨著攻擊方法的不斷更新，入侵檢測系統(tǒng)是否能報出網(wǎng)絡(luò)中所有的攻擊也是一個問題。

（2）沒有主動防御能力

IDS技術(shù)采用了一種預(yù)設(shè)置式、 特征分析式工作原理， 所以檢測規(guī)則的更新總是落后于攻擊手段的更新， 無法主動發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患和故障。 另外， IDS只是檢測和報警， 并不具有真正的防御和阻止攻擊的能力，在報警的同時， 攻擊已經(jīng)發(fā)生了。

（3）不能解析加密數(shù)據(jù)流

對于加密的通信來說，IDS是無能為力的。

1.2       IPS的主要優(yōu)勢

與IDS相比，IPS具有以下優(yōu)勢。

（1）同時具備檢測和防御功能IPS 不僅能檢測攻擊還能阻止攻擊， 做到檢測和防御兼顧，而且是在入口處就開始檢測， 而不是等到進入內(nèi)部網(wǎng)絡(luò)后再檢測，這樣，檢測效率和內(nèi)網(wǎng)的安全性都大大提高。

（2）可檢測到IDS檢測不到的攻擊行為IPS是在應(yīng)用層的內(nèi)容檢測基礎(chǔ)上加上主動響應(yīng)和過濾功能， 彌補了傳統(tǒng)的防火墻+IDS 方案不能完成更多內(nèi)容檢查的不足， 填補了網(wǎng)絡(luò)安全產(chǎn)品基于內(nèi)容的安全檢查的空白。

（3） IPS是一種失效既阻斷機制當(dāng)IPS被攻擊失效后， 它會阻斷網(wǎng)絡(luò)連接， 就像防火墻一樣， 使被保護資源與外界隔斷。

2  防火墻和IDS互動技術(shù)

2.1  通過開放接口實現(xiàn)互動防火墻或IDS產(chǎn)品開放一個接口供對方調(diào)用，按照一定的協(xié)議進行通信，傳輸警報。 防火墻可以行使它第一層防御

功能——訪問控制，IDS可以行使它第二層防御功能——檢測入侵，丟棄惡意通信，并通知防火墻進行阻斷。

2.2        緊密集成實現(xiàn)互動把IDS與防火墻集成到同一個硬件平臺上，在統(tǒng)一的操作系統(tǒng)管理下有序地運行。 所有通過該硬件平臺的數(shù)據(jù)不僅要接受防火墻規(guī)則的驗證，還要被檢測判斷是否有攻擊， 以達到真正的實時阻斷。

3.網(wǎng)絡(luò)安全設(shè)備發(fā)展趨勢

網(wǎng)絡(luò)安全設(shè)備安全功能的融合是大勢所趨， IPS的提出順應(yīng)了這一潮流。對于IPS的發(fā)展前景以及IPS能否真正取代IDS的問題，一般結(jié)論認為：

（1）IPS近期不會取代IDS隨著企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的不斷擴大和日益復(fù)雜， 由內(nèi)部員工違規(guī)引起的安全問題變得突出起來，防火墻、 防病毒等常規(guī)

的安全手段只能對付外部入侵， 對于內(nèi)部違規(guī)行為卻無能為力。 而IDS可以審計跟蹤內(nèi)部違反安全策略的行為。 另外， IDS可以記錄、報警各種安全事件， 有利于進行安全審計和事后追蹤， 對于追溯和阻止拒絕服務(wù)攻擊能夠提供有價值的線索。所以在安全等級要求很高的證券、銀行以及電信的網(wǎng)絡(luò)中，均能看到IDS的身影。

（2） “IDS + 防火墻” 的聯(lián)動防護機制與IPS會在今后相當(dāng)長的時間內(nèi)并存， 但IPS的發(fā)展勢頭會更好一些。IPS并不是防火墻的替代者， 當(dāng)前， IPS與防火墻的互補作用還是十分明顯的， 防火墻負責(zé)提供OSI第4層以下的基本安全環(huán)境和高速轉(zhuǎn)發(fā)能力， 而IPS負責(zé)OSI第4層層流量的細粒度控制。 隨著時間的推移， IPS將會像防火墻一樣成為4~7層的深層檢測防火墻， 作為網(wǎng)絡(luò)入口的第二道閥門。