入侵檢測(cè)系統(tǒng)（IDS）是一種動(dòng)態(tài)安全技術(shù)，但它不會(huì)主動(dòng)在攻擊發(fā)生前阻斷它們。而入侵防護(hù)系統(tǒng)（IPS）則傾向于提供主動(dòng)性的防護(hù)。在一段時(shí)間內(nèi)，IDS和IPS將共同存在。
存在的發(fā)展觀
IDS與IPS的發(fā)展其實(shí)非常有意思，因?yàn)樗麄兊某霈F(xiàn)與發(fā)展的時(shí)間間隔并不長(zhǎng)，而且到目前為止，各自都有堅(jiān)定的用戶與支持者，當(dāng)然，各自的缺點(diǎn)也非常明顯。在此，雖然有不少人認(rèn)為IPS終將取代IDS而成為主流（有些人甚至認(rèn)為UTM也是IPS的終結(jié)者），但記者并不敢全部認(rèn)同。
在IT產(chǎn)業(yè)中，這么多年了，從來(lái)沒(méi)有過(guò)技術(shù)主導(dǎo)一切的定論，國(guó)內(nèi)也是一樣。君不見(jiàn)微軟戰(zhàn)勝蘋(píng)果，TCP/IP搞掉OSI，道理很簡(jiǎn)單：適合的就是最好的。雖然技術(shù)很重要，但是也要考慮到用戶的接受程度、應(yīng)用水平與經(jīng)濟(jì)能力，尤其是在國(guó)內(nèi)。
記者一直認(rèn)為，IDS在國(guó)內(nèi)發(fā)展的一個(gè)重要領(lǐng)域是教育，雖然很多IPS廠商也認(rèn)為教育是其主要市場(chǎng)，但作為先來(lái)者，IDS和很多全網(wǎng)安全方案的結(jié)合，幫助了其進(jìn)一步存活的可能性，當(dāng)然荷包不足的用戶也是其發(fā)展的另一個(gè)條件。
當(dāng)然，記者的意思并非IDS將會(huì)一路高歌，恰恰相反，很多用戶對(duì)于發(fā)現(xiàn)問(wèn)題后及時(shí)采取行動(dòng)的呼聲與愿望越發(fā)高漲，眼下所擔(dān)憂的僅僅是這種行動(dòng)不要由于誤打誤撞而導(dǎo)致災(zāi)難。不管怎么說(shuō)，這種愿望還是造成了眼前IDS與IPS的邊界越來(lái)越模糊（甚至是和少數(shù)初級(jí)的UTM）----發(fā)現(xiàn)問(wèn)題，采取一點(diǎn)點(diǎn)用戶心理上能夠承受的行動(dòng)。
從防火墻到IDS
其實(shí)回憶早前防火墻在國(guó)內(nèi)的應(yīng)用可以發(fā)現(xiàn)，用戶對(duì)于安全設(shè)備的理解與掌握，往往花費(fèi)的時(shí)間都比較長(zhǎng)。
現(xiàn)在國(guó)內(nèi)用戶對(duì)防火墻已經(jīng)有了很高的認(rèn)知和應(yīng)用水平（至少對(duì)ACL的配置選擇已經(jīng)不在陌生），并認(rèn)可了其網(wǎng)絡(luò)大門(mén)的地位。但不可否認(rèn)，防火墻采用規(guī)則匹配的原理，對(duì)于內(nèi)容的控制并不嚴(yán)密。雖然少數(shù)高端產(chǎn)品可以對(duì)應(yīng)用協(xié)議進(jìn)行動(dòng)態(tài)分析----邊界模糊的另一種證明----，但這樣仍不能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，特別是對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無(wú)能為力。
Juniper公司的工程師向記者表示，由于防火墻處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。因此如果把放火防火墻比作大門(mén)警衛(wèi)的話，IDS就是網(wǎng)絡(luò)中不間斷的攝像機(jī)。IDS通過(guò)旁路監(jiān)聽(tīng)的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過(guò)各種手段向管理員報(bào)警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說(shuō)IDS是網(wǎng)絡(luò)安全的第二道閘門(mén)，是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案
在《網(wǎng)絡(luò)世界》報(bào)社出版的《2005網(wǎng)絡(luò)產(chǎn)品購(gòu)買(mǎi)指南》中就曾指出，當(dāng)前市場(chǎng)上存在的IDS可以分為以下兩種：主機(jī)型IDS（HIDS）和網(wǎng)絡(luò)型IDS（NIDS）。HIDS的分析對(duì)象為主機(jī)審計(jì)日志，所以需 要在主機(jī)上安裝軟件，針對(duì)不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎，安裝配置較為復(fù)雜，同時(shí)對(duì)系統(tǒng)的運(yùn)行和穩(wěn)定性造成影響，目前在國(guó)內(nèi)應(yīng)用較少。而NIDS的分析對(duì)象為網(wǎng)絡(luò)數(shù)據(jù)流，只需安裝在網(wǎng)絡(luò)的監(jiān)聽(tīng)端口上，對(duì)網(wǎng)絡(luò)的運(yùn)行無(wú)任何影響，目前國(guó)內(nèi)使用較為廣泛。
從技術(shù)上說(shuō)，無(wú)論采用HIDS還是NIDS，都能發(fā)現(xiàn)對(duì)方無(wú)法檢測(cè)到的一些入侵行為，可互為補(bǔ)充，完美的IDS產(chǎn)品應(yīng)該將兩者結(jié)合起來(lái)。一些高端的IDS產(chǎn)品都采用HIDS和NIDS有機(jī)結(jié)合的混合型IDS架構(gòu)。
對(duì)一個(gè)成功的IDS系統(tǒng)來(lái)講，它不但可使企業(yè)用戶的網(wǎng)絡(luò)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的是，IDS大多管理、配置簡(jiǎn)單，從而使企業(yè)人員可以非常容易地獲得網(wǎng)絡(luò)安全。另外，好的IDS產(chǎn)品可以根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。
IDS系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。業(yè)界總結(jié)的通用IDS系統(tǒng)的主要功能包括：監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)等。
另外，一些業(yè)內(nèi)的主流廠商，如Cisco、Checkpoint、ISS以及華為3Com等，他們一般采用基于模式匹配、異常情況或者完整性分析的判斷方法。
對(duì)于基于模式匹配的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類(lèi)特征是否在所收集到的數(shù)據(jù)中出現(xiàn)，此方法非常類(lèi)似殺毒軟件；而基于異常情況的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)等，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正?！鼻闆r；而完整性分析則關(guān)注文件或?qū)ο笫欠癖淮鄹模饕鶕?jù)文件和目錄的內(nèi)容及屬性進(jìn)行判斷，這種檢測(cè)方法在發(fā)現(xiàn)被更改和被植入特洛伊木馬的應(yīng)用程序方面特別有效。