不管人們對入侵防御系統（IPS）信還是不信，反正在國際上，IPS廠商在不斷改進IPS產品，而顧客也在不斷購買它。

“別去買入侵檢測系統（IDS）！”Gartner的分析家在2002年8月的一項研究評論中這樣向用戶建議。這位分析家特別指出: “IDS未能提供另一層安全，反而還會給公司的安全操作增添麻煩。”他建議公司應該考慮選擇入侵防御系統（IPS）。這項研究評論提到了2002年安全市場上討論得沸沸揚揚的一個問題：既然可以阻斷攻擊，干嘛只是檢測呢？

傳統的IDS只能在旁路上通過探測經過交換端口的數據包，以被動方式監控數據流量；而IPS則能夠實時阻斷攻擊，它不是旁路安裝而是在線安裝，因此能主動截獲并轉發數據包。借助于在線方式，IPS可根據設定的策略丟棄數據包或拒絕連接。傳統IDS的響應機制非常有限，比如只能做到對TCP連接復位或者請求更改防火墻規則等。

但是，IPS產品只是IDS的逐步演進呢還是兩者全然不同？這要看你在問哪家廠商，它們又在銷售什么產品。

“Gartner認為，IPS是下一代IDS，IPS可能會成為下一代防火墻。”IDS廠商Sourcefire的創辦人馬蒂·羅施說。羅施編寫了著名的Snort IDS軟件，這種基于規則的開放源代碼程序可用于編寫檢測特征。羅施堅持認為，IDS和IPS是兩種互不相同的技術。“IPS側重訪問控制，IDS側重網絡監控。IPS注重實施策略，IDS注重安全審查。IDS的職責不是保護網絡，而是告訴你網絡的安全狀況。”

但這番話在更廣泛的安全市場得不到認同。Infonetics調研公司的執行主任杰夫·威爾遜說：“普通人并不想僅僅監控流量、檢查數據，或者根據已檢測到的攻擊更改規則或策略，而是想阻止攻擊。”

其他老牌IDS廠商已發覺了市場的這種觀點。克里斯·克勞斯是IDS主要廠商ISS的CTO兼創辦人之一。他說：“我們在迅速開發具有防御而不僅僅是檢測功能的產品。”克勞斯強調，這一概念涵蓋防御和檢測兩項技術，為此，ISS利用在線狙擊攻擊的基于網絡和主機的IPS技術，增強了其旗艦產品RealSecure IDS的功能。

這個產品系列的佼佼者是RealSecure Guard，這是ISS在2001年收購NetworkICE公司而獲得的軟件IPS。只要裝到服務器上，Guard就直接在線安裝在某網段上，它依賴協議異常檢測來發現漏洞，并在攻擊到達目的主機之前實時丟棄策略。

IDS市場的第二大廠商思科稱，目前，“防御”更多的只是一種營銷策略，而不是實際產品。但這僅僅是因為該公司還沒有推出自己的IPS產品。“我們的設想是，一旦解決了IDS的準確性問題，就能提供防御功能。”思科的安全設備經理約耳·麥克法蘭說。

宣傳檢測防御產品最積極的廠商還有IntruVert和Tipping Point科技兩家新興的公司，防火墻重量級廠商NetScreen科技公司反倒緊隨其后。三家公司都推出了硬件設備，希望能夠取代傳統的被動型IDS。

澄清概念

被動型：傳統的入侵檢測系統（IDS）的自動響應能力非常有限，除了向管理員發出警報外，IDS試圖對目標主機或攻擊機上的TCP連接進行復位，或者重新配置防火墻或路由器，以拒絕連接（1）。

主動型：然而，復位命令或規則變更的出現可能不夠快，以至于無法阻止攻擊流量到達目標設備。在防御檢測器位于傳輸通路中，能夠截獲并轉發通信流，從而可以自動消除攻擊，方式酷似防火墻（2）。

如上所述，檢測防御（IPS）有別于傳統的入侵檢測（IDS）主要體現在兩大方面: 自動阻斷攻擊和在線安裝的位置（如圖所示）。其實，這兩方面缺一不可。IPS防御設備必須設定策略，才能自動對攻擊做出響應，而不是只向管理員發出警報，卻任由攻擊流量繼續進入網絡。而自動響應機制要發揮作用，IPS產品就必須在線安裝。

IntruVert負責產品營銷和業務管理的副總裁拉吉·丁格拉說：“如果黑客企圖與目標服務器建立會話，所有數據都必須通過位于數據通路的IPS檢測器。檢測器能夠發現數據流里面的攻擊代碼、核查策略，然后在將數據包轉發給服務器之前，將有害的數據包或數據流丟棄。因為是在線安裝，這是對付網絡濫用現象的最有效的方法。”

他拿這種方案與普通的IDS響應機制，如TCP復位做了比較。傳統的IDS也能檢測到數據包里的攻擊代碼，但這是因為IDS只是以被動方式檢測數據流量，卻無法阻止數據流量。IDS必須往數據流中加入TCP數據包，然后對目標服務器上的會話進行復位。然而，攻擊流卻可能在TCP復位數據包到達之前已經全部到達目標服務器，這樣一來，IDS的響應為時已晚。

重新配置防火墻規則也是如此。被動的IDS可能會檢測到攻擊代碼，然后向防火墻發出封阻會話的請求，但同樣，這種請求可能來得太晚，因而無法防御攻擊。

當然，把某個設備直接在線安裝在網絡流量中，會給防御系統增添負擔。防御系統不能給數據傳輸帶來時延，否則就會成為網絡上的瓶頸。IPS必須以線速進行數據分析，然后實施策略。Infonetics的威爾遜說：“這個問題關系到廠商的技術和硬件制造水平。”

IntruVert、Tipping Point和NetScreen銷售的IPS產品都是硬件設備。IntruVert和Tipping Point還利用專門針對安全的ASIC芯片增強產品的性能，這樣數據包分析速度就會快于通用處理器。兩家公司提供的高端設備都聲稱能以高達2Gbps的速度處理流量。

收購了OneSecure公司的IPS技術的NetScreen還沒有把這項技術應用到基于ASIC的自有平臺上。NetScreen-IPD 100擁有快速以太網接口，最高吞吐率為200Mbps，其500型擁有千兆以太網接口，最高吞吐率可達500Mbps。

小心選擇

IDS和IPS的作用都完全取決于檢測引擎。實際上，IPS在準確性方面的壓力更大，因為誤報可能會阻斷合法的網絡事務處理，從而導致數據丟失、業務丟失、用戶不信任系統等情況。

為了避免這種結果，IDS和IPS廠商現正在運用多種檢測方法，盡量提高產品發現已知和未知攻擊的準確性（如表所示）。比如，賽門鐵克從Recourse公司收購來的ManHunt IDS最初曾完全依賴協議異常，而在后幾個版本中，則允許管理員導入Snort特征，以便增強異常檢測功能。思科最近也升級了IDS軟件，為基于特征的檢測系統增添了協議和流量異常檢測功能。NetScreen的設備中聲稱擁有八種檢測方法，其中包括狀態特征、協議和流量異常以及后門檢測。

Snort系統值得一提，因為這種基于規則的特征編寫方案用的是開放源代碼。Snort特征有利于提高根據特定操作環境調整IDS的靈活性。“我可以編寫與自己的網絡完全相符的IDS規則集，而不是用千篇一律的檢測方法。”Snort開發者羅施說。“許多商業IDS特征只有兩種功能：開或關。你無法根據自己的網絡改變檢測方法。”

羅施舉例說明:“如果你有一個匿名FTP服務器，我可以編寫這樣的規則：如果有誰試圖以匿名或FTP以外的方式登錄到該服務器，就發出警報。你在大多數其他IDS中無法實現這種功能。”

Snort特征對跨國公司Pentair的技術服務主管保羅·薩馬達尼選擇Sourcefire起到了重要影響。他在采用Sourcefire之前比較了好幾種主要的IDS產品，現有65套Sourcefire檢測器部署在全球各地。

薩馬達尼說：“如果你沒有完備的特征，也就沒有良好的檢測功能。我喜歡自己編寫特征。”他還強調，鑒于眾多的Snort用戶致力于IDS，特征庫的更新非常快。他補充說：“萬一Sourcefire失效，這一龐大的用戶群也能夠保護投資。Sourcefire事先給檢測器添置了大約2000條規則，還含有協議異常檢測模塊。”

消除誤報

雖然結合多種檢測方法增加了IDS和IPS所能檢測的攻擊的數量和類型，但誤報仍把廠商搞得焦頭爛額。用戶對IDS意見最大的就是誤報。因擔心IPS可能會封阻合法流量，這也阻礙了人們采用IPS產品。

目前普遍認為，消除誤報的最佳辦法就是借助上下文。也就是說，如果系統完全了解網絡環境，引發的誤報就會減少。

許多客戶著眼于這種上下文轉而求助于安全管理服務，安全管理服務提供商Guardent的CTO杰里·布拉迪說：“我們認為許多檢測器的準確性和性能沒有重大區別，無論ISS、Enterasys、Snort還是其他，重要的是能夠把防火墻日志、IDS數據、應用日志和脆弱性評估的內容聯系起來，對當前狀況及如何響應做出合理的評論。”他特別指出，對攻擊后的恢復、解決導致攻擊得逞的基本缺陷來說，這種詳細了解網絡環境的能力極為重要。

不過，產品廠商也在部署使管理員可以收集并利用上下文信息的技術，以提高IDS的效果。思科聲稱，新的思科威脅響應（CTR）技術最多可以消除95%的誤報。CTR是2002年10月思科從Psionic軟件公司收購而來的，該軟件放在IDS檢測器和IDS管理控制臺間的專用服務器上。如果檢測器引發警報，CTR就會掃描目標主機，看看引發警報的攻擊是否真的會造成影響。

比如說，倘若檢測器檢測到某臺服務器受到了紅色代碼引起的緩沖器溢出攻擊，CTR就會掃描該服務器，但如果目標主機是Linux服務器，CTR就會制止警報。這次活動會記錄在IDS日志文件當中，但警報不會發給控制臺。

思科稱，可以配置CTR掃描功能以求簡單、快速的分析，比如搜尋開放的端口、鑒別操作系統，或者尋找有效服務。CTR還可以進一步掃描注冊表設置、事件日志和補丁狀況，查明目標主機是否很脆弱。如果CTR查明目標很脆弱，或者攻擊已得逞，就會重視該事件，將其列為控制臺的重點監控對象。

如果這項技術取得成功，CTR可能會運用到在線安裝的防御系統（IPS）中。思科稱，一旦對檢測功能的準確性覺得滿意，公司就會推出此類防御系統。

慎重購買

說到投資購買，你會選購IDS還是IPS？在做出決定前，請考慮以下事項。

Guardent的布拉迪說:“我的確認為廠商的說法不切實際，這是受IDS影響的緣故。如果IPS設備做出錯誤決定，從而丟棄了正常流量，后果會相當嚴重。”

他強調，雖然IPS也許完全有可能阻止同類型的大規模攻擊，但就防御針對單個目標的攻擊者而言，效果估計不會那么明顯。在鐵了心的且知道自己在做什么的攻擊者面前，自動防御無能為力。

布拉迪又說：“如果你關心的是入侵，自然會考慮IPS的阻斷模式。如果你關心的是內含信用卡號碼的數據庫的安全問題，應該考慮如何對數據加密和加密數據的存儲問題，而不是考慮在訪問者與數據庫之間放一個盒子的問題。”

客戶應評估利用IPS能預防哪些風險，同時也要評估部署這種可能干擾網絡正常運行的技術所帶來的風險。別指望這種在線安裝的防御系統會發揮神奇的功效，因為，沒有哪一種防御設備會智能到知道某一Oracle數據庫應用的各種變化的地步。也許它能發現緩沖區溢出攻擊，但它并不能知道有人往某個賬戶中注入了大筆資金。

決定是否采用IPS之前，問一下自己是否設置了防火墻。如果不知道允許或禁止哪些流量進出網絡，因而沒有設置防火墻，就不要部署這種在線封阻的設備。如果你知道網段有哪些協議，而且對網絡狀況心里一清二楚，那么試用這種技術也無妨。但如果你不知道流量情況，還是先采用傳統的IDS為好。

不過，一些廠商卻稱用戶沒必要在兩者之間做惟一性選擇。IntruVert的丁格拉說:“現在有種誤解，以為IDS和IPS是兩種不同產品，其實，行業只有一種產品——檢測準確性高又能封阻攻擊的產品。”

未來趨勢

客戶是否真正需要IDS具有防御功能呢？Infonetcis的威爾遜認為，絕對需要。據客戶調查表明，客戶首先要求IDS具備的特性就是阻斷攻擊的功能。威爾遜估計IDS市場在今后幾年會急劇發展。據他的調查表明，IDS收入在去年第四季度超過1億美元，預計到2006年，年收入有望達到16億美元。

威爾遜說，不過，推動市場發展的是具有攻擊阻斷功能的產品。不管樂意不樂意，IPS已經被普遍接受。但這是否意味著傳統的IDS會銷聲匿跡呢？他說，未必如此。

威爾遜說：“某些情況下，你可能不想拒絕流量，但仍想知道流量狀況。你可以提高防御系統的智能程度，但有些客戶希望通過人來監控事件，以決定采取相應的措施。檢測技術在市場總是有一席之地，但是，如果只注重檢測，恐怕不會有前途。”

IDS和IPS各種檢測方法的比較