編者按：本文從分析入侵檢測系統(tǒng)IDS與入侵防御系統(tǒng)IPS的優(yōu)勢與缺陷入手，著重闡明兩者在當(dāng)前網(wǎng)絡(luò)與信息安全體系建設(shè)中不可或缺的地位，認(rèn)為應(yīng)該突破IPS與IDS勢不兩立的理念，使兩者能夠不斷創(chuàng)新、相輔相成，共同為網(wǎng)絡(luò)與信息安全建設(shè)服務(wù)。文中還提供了協(xié)同部署防火墻、IDS和IPS的高可用性（HA）網(wǎng)絡(luò)與信息安全解決方案，以供信息安全工作者和廣大用戶參考。
2003年8月，Gartner公司副總裁Richard Stiennon發(fā)表的一份名為《入侵檢測已壽終正寢，入侵防御將萬古長青》的報(bào)告，提出入侵檢測系統(tǒng)Intrusion Detection System（IDS）已經(jīng)難以適應(yīng)客戶的需要。IDS不能提供附加層面的安全，相反增加了企業(yè)安全操作的復(fù)雜性。入侵檢測系統(tǒng)朝入侵防御系統(tǒng)Intrusion Prevention System（IPS）方向發(fā)展已成必然。
一石激起千層浪。剛剛從IDS脫穎而出的IPS，一時(shí)間竟然成了IDS的天敵。兩年多來，盡管事實(shí)上IDS非但沒有退出安全產(chǎn)品陣列，反而不斷更新、依然占領(lǐng)著繼防火墻之后第二大的安全產(chǎn)品市場份額，但是IDS行將就木的宣傳不僅引發(fā)了信息安全體系建設(shè)上的爭執(zhí)與混亂，而且給客戶的信息安全產(chǎn)品選型造成了不應(yīng)有的壓力與彷徨。
1. IDS的功能與缺陷
IDS本質(zhì)上是一種監(jiān)聽系統(tǒng)，它依照一定的安全策略，對網(wǎng)絡(luò)與系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)測，盡可能發(fā)現(xiàn)、報(bào)告、記錄各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證信息系統(tǒng)的機(jī)密性、完整性和可用性。IDS可分為主機(jī)型HIDS和網(wǎng)絡(luò)型NIDS，目前主流IDS產(chǎn)品均采用兩者有機(jī)結(jié)合的混合型架構(gòu)。
1.1 IDS的傳統(tǒng)優(yōu)勢
NIDS使用原始網(wǎng)絡(luò)信息作為數(shù)據(jù)源，利用運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器實(shí)時(shí)監(jiān)聽和分析通過網(wǎng)絡(luò)的所有通信，收集相關(guān)信息并記入日志；而HIDS則通常安裝在被檢測的主機(jī)之上，與該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接，負(fù)責(zé)對系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。若發(fā)現(xiàn)非法入侵或者違反統(tǒng)計(jì)規(guī)律的行為異常，IDS會(huì)立即發(fā)出警報(bào)，由系統(tǒng)管理員進(jìn)行決策處理。IDS的傳統(tǒng)優(yōu)勢在于：
整體部署，實(shí)時(shí)檢測，可根據(jù)用戶的歷史行為模型、存儲在計(jì)算機(jī)中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型，對用戶當(dāng)前的操作進(jìn)行判斷，及時(shí)發(fā)現(xiàn)入侵事件；
對于入侵與異常不必做出阻斷通信的決定，能夠從容提供大量的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，有利于在事后入侵分析中評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；
獨(dú)立于所檢測的網(wǎng)絡(luò)，黑客難于消除入侵證據(jù)，便于入侵追蹤與網(wǎng)絡(luò)犯罪取證；
同一網(wǎng)段或者一臺主機(jī)上一般只需部署一個(gè)監(jiān)測點(diǎn)就近監(jiān)測，速度快，擁有成本低。
1.2 IDS的明顯缺陷
IDS最明顯的缺陷有：
被動(dòng)防御的監(jiān)聽方式限制阻斷。目前IDS只能靠發(fā)阻斷數(shù)據(jù)包來阻斷建立在TCP基礎(chǔ)上的攻擊，對于建立在UDP基礎(chǔ)之上的入侵則無能為力；
基于特征的入侵檢測技術(shù)落伍。由于缺少信息管理，難于抵擋Canvas和MetaSploit等欺騙工具的攻擊和滲透；
誤報(bào)與漏報(bào)率高于客戶預(yù)期。有些IDS產(chǎn)品每天會(huì)產(chǎn)生大量的異常報(bào)告，其中絕大多數(shù)屬于非攻擊行為，需要具有相當(dāng)專業(yè)水準(zhǔn)的網(wǎng)絡(luò)安全管理員進(jìn)行甄別，有時(shí)甚至?xí)o客戶造成難于忍受的負(fù)擔(dān)；
對于檢測主機(jī)的依賴性。由于HIDS安裝于檢測主機(jī)之上，不僅消耗檢測對象的部分資源，影響到被檢測主機(jī)的效率，而且還必須針對不同的主機(jī)及其系統(tǒng)環(huán)境設(shè)計(jì)和安裝各自的HIDS。
2. IPS的優(yōu)勢與弱點(diǎn)
提到IPS，人們常常會(huì)談到一個(gè)公式: IPS = Firewall + IDS；也有文獻(xiàn)認(rèn)為，將IDS的傳感器置于網(wǎng)絡(luò)通信線路之內(nèi)（In-line），讓所有網(wǎng)絡(luò)通信量必須通過它，就得到了一臺IPS。這兩種看法均有偏頗之處，但是卻殊途同歸地道出了一個(gè)事實(shí)：IPS來自IDS。
2.1 IPS的原理與分類
青出于藍(lán)而勝于藍(lán)。IPS串聯(lián)于通信線路之內(nèi)，是既具有IDS的檢測功能，又能夠?qū)崟r(shí)中止網(wǎng)絡(luò)入侵行為的新型安全技術(shù)設(shè)備。IPS由檢測和防御兩大系統(tǒng)組成，具備從網(wǎng)絡(luò)到主機(jī)的防御措施與預(yù)先設(shè)定的響應(yīng)設(shè)置。圖1是北京基格網(wǎng)絡(luò)技術(shù)有限公司研制的基格領(lǐng)袖IPS原理框圖，在同類產(chǎn)品中頗具代表性。

圖1. 入侵防御系統(tǒng)IPS的原理框圖

目前，從保護(hù)對象上可將IPS分為三類：
基于主機(jī)的入侵防護(hù)（HIPS），用于保護(hù)服務(wù)器和主機(jī)系統(tǒng)不受不法分子的攻擊和誤操作的破壞；
基于網(wǎng)絡(luò)的入侵防護(hù)（NIPS），通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)體系的安全保護(hù)，一旦辨識出入侵行為，NIPS就阻斷該網(wǎng)絡(luò)會(huì)話；
應(yīng)用入侵防護(hù)（AIP），是將基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)信息安全設(shè)備。
2.2 IPS不可低估的優(yōu)勢
實(shí)時(shí)檢測與主動(dòng)防御是IPS最為核心的設(shè)計(jì)理念，也是其區(qū)別于防火墻和IDS的立足之本。為實(shí)現(xiàn)這一理念，IPS在如下四個(gè)方面實(shí)現(xiàn)了技術(shù)突破，形成了不可低估的優(yōu)勢：
在線安裝(In-Line)。IPS保留IDS實(shí)時(shí)檢測的技術(shù)與功能，但是卻采用了防火墻式的在線安裝，即直接嵌入到網(wǎng)絡(luò)流量中，通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中；
實(shí)時(shí)阻斷（Real-time Interdiction）。IPS具有強(qiáng)有力的實(shí)時(shí)阻斷功能，能夠預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失；
先進(jìn)的檢測技術(shù)（Advanced Detection Technology）。主要是并行處理檢測和協(xié)議重組分析。所謂并行處理檢測是指所有流經(jīng)IPS的數(shù)據(jù)包，都采用并行處理方式進(jìn)行過濾器匹配，實(shí)現(xiàn)在一個(gè)時(shí)鐘周期內(nèi)，遍歷所有數(shù)據(jù)包過濾器；而協(xié)議重組分析是指所有流經(jīng)IPS的數(shù)據(jù)包，必須首先經(jīng)過硬件級預(yù)處理，完成數(shù)據(jù)包的重組，確定其具體應(yīng)用協(xié)議。然后，根據(jù)不同應(yīng)用協(xié)議的特征與攻擊方式，IPS對于重組后的包進(jìn)行篩選，將可疑者送入專門的特征庫進(jìn)行比對，從而提高檢測的質(zhì)量和效率；
特殊規(guī)則植入功能（Build-in Special Rule）。IPS允許植入特殊規(guī)則以阻止惡意代碼。IPS能夠輔助實(shí)施可接收應(yīng)用策略(AUP)，如禁止使用對等的文件共享應(yīng)用和占有大量帶寬的免費(fèi)互聯(lián)網(wǎng)電話服務(wù)工具等；
自學(xué)習(xí)與自適應(yīng)能力（Self-study & Self-adaptation Ability）。為了應(yīng)對黑客們處心積慮、花樣翻新的攻擊手段，IPS必須具有人工智能的自學(xué)習(xí)與自適應(yīng)能力。能夠根據(jù)所在網(wǎng)絡(luò)的通信環(huán)境和被入侵狀況，分析和抽取新的攻擊特征以更新特征庫，自動(dòng)總結(jié)經(jīng)驗(yàn)，定制新的安全防御策略。
2.3 IPS不可忽視的弱點(diǎn)
有其利必有其弊。IPS的主動(dòng)防御優(yōu)勢也決定了它的下列弱點(diǎn)：
總體擁有成本（TOC）高。浩大的高可用性（HA）實(shí)時(shí)計(jì)算需求決定了IPS必須選用高端的專用計(jì)算設(shè)備，但是可觀的總體擁有成本卻使不少用戶望而卻步；
單點(diǎn)故障（Single-point Fault）。IPS的阻斷能力決定其必須采用網(wǎng)絡(luò)嵌入模式，而這就可能造成單點(diǎn)故障；
性能瓶頸（Performance Bottle-neck）。即使IPS設(shè)備不出現(xiàn)故障，它仍然是一個(gè)潛在的網(wǎng)絡(luò)瓶頸，不僅會(huì)增加滯后時(shí)間，而且會(huì)降低網(wǎng)絡(luò)的效率，因此，絕大多數(shù)高端IPS產(chǎn)品供應(yīng)商都通過使用自定義硬件（FPGA、網(wǎng)絡(luò)處理器或者ASIC芯片）來提高IPS的運(yùn)行效率，以減少其對于業(yè)務(wù)網(wǎng)絡(luò)的負(fù)面影響；
誤報(bào)（False positive）與漏報(bào)（False negatives）后果同樣嚴(yán)重。在網(wǎng)絡(luò)流量幾乎成幾何級數(shù)增加的情況下，一旦生成警報(bào)，最基本的要求就是不讓“誤報(bào)”有可乘之機(jī)，導(dǎo)致合法流量也很有可能被意外攔截。如果觸發(fā)了誤報(bào)警報(bào)的流量恰好是來自上級、合作伙伴和客戶的重要信息，IPS不僅實(shí)施了一次性錯(cuò)誤阻斷，而且會(huì)切斷與他們的信息通道，其結(jié)果不言而喻。
3. IPS目前不可能取代IDS
我們既要看到IPS蓬蓬勃勃的增長勢頭，又要承認(rèn)IDS在入侵檢測領(lǐng)域的傳統(tǒng)優(yōu)勢，肯定IPS目前尚不可能完全取代IDS的基本事實(shí)，在建立自己的網(wǎng)絡(luò)與信息安全體系的過程中，將兩者有機(jī)地結(jié)合起來。
3.1 IPS增長勢頭強(qiáng)勁
根據(jù)IDC發(fā)布的案例，美國的一家財(cái)務(wù)公司，在全球有12個(gè)分支機(jī)構(gòu)，原計(jì)劃使用多臺防火墻并搭配250個(gè)許可證的IDS。最終，該公司僅用了30個(gè)許可證的IPS產(chǎn)品就實(shí)現(xiàn)了全球網(wǎng)絡(luò)的入侵防御，而管理人員只需要3至4人，效率卻提高了6倍以上。
波士頓Sappi Fine報(bào)社信息安全總監(jiān)Jim Cupps說，作為具有10,000桌面設(shè)備和數(shù)百臺基于微軟服務(wù)器的公司，現(xiàn)在開始使用Determina基于主機(jī)的IPS，稱之為內(nèi)存防火墻的專用服務(wù)器，主要作為防御蠕蟲的附加件。基于行為的內(nèi)存防火墻能夠監(jiān)測緩沖區(qū)溢出攻擊，"它并不能替代打補(bǔ)丁，但是它讓我們不必立即打補(bǔ)丁，我們戰(zhàn)勝了'補(bǔ)丁恐慌’，如果漏洞確實(shí)存在，入侵防御系統(tǒng)能夠幫忙。"

圖2. IPS市場銷售統(tǒng)計(jì)與預(yù)測（2003-2008）

在受益于IPS的優(yōu)勢和效益的同時(shí)，不少用戶對于其弱點(diǎn)和不足，也能給與理解與寬容。大名鼎鼎的網(wǎng)絡(luò)安區(qū)專家Mathias Thurman在IDC的《計(jì)算機(jī)世界》上寫道，由于In-line安裝，IPS設(shè)備的故障可能根本上阻斷網(wǎng)絡(luò)通信。因此，我們需要選擇具有容錯(cuò)能力的IPS，即故障時(shí)能讓通信暢通。我愿意承擔(dān)短時(shí)期自我開放的風(fēng)險(xiǎn)，也不愿面臨數(shù)以千計(jì)的雇員無法工作，損失收入和勞動(dòng)生產(chǎn)率的局面。
正是由于IPS主動(dòng)防御和易于管理的特性，致使其銷售也正在突飛猛進(jìn)。圖2是來自于IDC的2003-2008年IPS銷售額的統(tǒng)計(jì)與預(yù)測。從此圖中可以看到，到2008年，IPS的銷售額可高達(dá)11.8億美元，比2005年增加將近一倍。
3.2 為何IPS不會(huì)立即取代IDS？
應(yīng)該指出，到目前為止IPS尚未強(qiáng)大到足以取代IDS的地步，或者它根本不必要全面取代IDS就能拓展自身的生存空間。這是因?yàn)椋?br>IPS尚難應(yīng)對較為復(fù)雜的攻擊。受檢測技術(shù)、傳輸技術(shù)、芯片技術(shù)等多方面的約束，當(dāng)前IPS能夠解決的主要是準(zhǔn)確的單包檢測和高速傳輸?shù)娜诤蠁栴}，對于端口掃描、拒絕服務(wù)、蠕蟲等特征比較明確的攻擊可以做到高效的檢測和及時(shí)的阻斷，而對于更為復(fù)雜的攻擊就難于應(yīng)對；
IPS的分析報(bào)告功能太弱。對于In-line的IPS來說，分析得越清晰準(zhǔn)確，計(jì)算復(fù)雜度越高，傳輸延遲就會(huì)越大。美國網(wǎng)絡(luò)世界實(shí)驗(yàn)室聯(lián)盟成員Rodney Thayer認(rèn)為，在報(bào)告、分析等相關(guān)技術(shù)完善得足以防止虛假報(bào)警之前，IPS不可能取代IDS設(shè)備。IPS可能將取代外圍防線的檢測系統(tǒng)，而網(wǎng)絡(luò)中的一些位置仍然需要檢測功能，以加強(qiáng)不能提供很多事件信息的IPS；。
IDS正在走向檢測與訪問控制相融合。一個(gè)不太準(zhǔn)確的IDS，經(jīng)過人工的分析可以變得準(zhǔn)確；同樣，經(jīng)過大規(guī)模的IDS部署后的集中分析，以及和其他檢測類技術(shù)的關(guān)聯(lián)分析，可以獲得更加精確的結(jié)果。根據(jù)全局性的檢測結(jié)果就可以進(jìn)行全局性的響應(yīng)和控制。從宏觀看檢測和訪問控制的融合是IDS的發(fā)展方向；
技術(shù)上的相互滲透和融合并非一定要在產(chǎn)品上取而代之。防火墻最主要的特征是通（傳輸）和斷（阻隔）兩個(gè)功能，并不對通信包的數(shù)據(jù)部分進(jìn)行檢測；IDS是一個(gè)檢測和發(fā)現(xiàn)為特征的技術(shù)行為，其追求的是抓包不能漏，分析不能錯(cuò)，盡量降低漏報(bào)率和誤報(bào)率。因此，防火墻、IDS和IPS一樣在網(wǎng)絡(luò)信息安全體系中可以各顯身手，相輔相成。
4. 一個(gè)相輔相成的解決方案
美國網(wǎng)絡(luò)世界實(shí)驗(yàn)室聯(lián)盟成員Joel Snyder認(rèn)為，未來將是混合技術(shù)的天下，在網(wǎng)絡(luò)邊緣和核心層進(jìn)行檢測，遍布在網(wǎng)絡(luò)上的傳感設(shè)備和矯正控制的通力協(xié)作將是安全應(yīng)用的主流。
全局性的檢測可提高準(zhǔn)確率，但是使檢測過程變長，局部反應(yīng)速度過慢。因此，面對一些局部事件，可以相當(dāng)準(zhǔn)確地判斷出問題所在而阻斷風(fēng)險(xiǎn)不大時(shí)，IPS當(dāng)之無愧地成為首選產(chǎn)品；而對于需要全面檢測和事后分析的情況，則非IDS莫屬。根據(jù)客戶需求將兩者統(tǒng)一部署，使其相輔相成，不失為一個(gè)優(yōu)秀的解決方案。圖3 給出了一個(gè)高可用性IPS、IDS與防火墻綜合入侵防御的解決方案。該方案的要點(diǎn)是:：

網(wǎng)絡(luò)主干線的IPS和防火墻均采用雙機(jī)動(dòng)態(tài)熱備份部署，確保任何單機(jī)故障均不會(huì)影響主干網(wǎng)的暢通；
將高端IPS串接于路由器與防火墻之間，利用IPS能夠快速終結(jié)DoS與DDoS、未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)斷線或阻塞的性能特長，實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)防護(hù)機(jī)制，保護(hù)防火墻和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊；
信息中心和業(yè)務(wù)服務(wù)器的子交換機(jī)前分別部署一臺中級IPS，可以有效地阻斷來自內(nèi)部和外部對于公共訪問和關(guān)鍵業(yè)務(wù)服務(wù)器群的攻擊；
在各子網(wǎng)的分交換機(jī)端口部署分布式IDS的網(wǎng)絡(luò)引擎，對各子網(wǎng)的通信進(jìn)行實(shí)時(shí)監(jiān)聽，發(fā)現(xiàn)攻擊或者誤操作立即報(bào)告其中心控制臺，向系統(tǒng)管理員發(fā)出警報(bào)，并且做好時(shí)間記錄和報(bào)告，以便進(jìn)行事件分析。
結(jié)束語：
主動(dòng)防御與實(shí)時(shí)阻斷是IPS的立足之本，但是由于受到技術(shù)與成本的局限，IPS尚無法完全替代IDS全面的檢測與報(bào)告功能。IPS與IDS相比較而存在、相斗爭而發(fā)展的局面仍然會(huì)繼續(xù)下去。作為信息安全工作者或者用戶，沒有必要去爭論兩者誰會(huì)戰(zhàn)勝誰，而應(yīng)該研究如何發(fā)揮雙方的特長，使其相輔相成，共同建立現(xiàn)實(shí)的信息安全體系。
參考文獻(xiàn)：
1. Mathias Thurman: Making the Move From IDS to IPS, (COMPUTERWORLD), Oct-31, 2005 http://www.computerworld.com/securitytopics/security/story/0,10801,105762,00.html
2. Geoffrey Moore: IPS gaining ground over IDS (Network World), Feb-25,2005 http://www.networkworld.com/news/2005/021405ids.html
3. William Jackson : IDS vs. IPS: Experts say use both ( GCN) Oct-24, 2005. http://www.gcn.com/24_31/Communications_Networking/37334-1.html?topic=technology_products
作者簡介：
郜倫 男 1946年12月9日生，安徽省霍邱縣人。1969年畢業(yè)于中國科學(xué)技術(shù)大學(xué)。1973年開始從事計(jì)算機(jī)及其應(yīng)用研究，系計(jì)算機(jī)軟件副研究員。1998年起至今專注于計(jì)算機(jī)網(wǎng)絡(luò)與信息安全的研究，具有CISP證書。曾任加拿大Concordia University 計(jì)算機(jī)科學(xué)系訪問學(xué)者，并多次赴法國、日本、美國、新加坡等國進(jìn)行聯(lián)合項(xiàng)目開發(fā)。著有《水利系統(tǒng)安全評估淺析》等多篇論文和專著。
崔相哲 男 1973年1月27日生，黑龍江省五常市人。1996年7月畢業(yè)于哈爾賓工業(yè)大學(xué)并獲學(xué)士學(xué)位。2002年8月獲韓國仁荷大學(xué)計(jì)算流體力學(xué)碩士學(xué)位。現(xiàn)任北京基格網(wǎng)絡(luò)技術(shù)有限公司副總經(jīng)理。
本文英文標(biāo)題：IPS vs. IDS, Ending in Live-or-death Or Working Together

本文只代表作者個(gè)人觀點(diǎn)，不作為51CTO網(wǎng)站觀點(diǎn)