编者按：本文从分析入侵检测系统IDS与入侵防御系统IPS的优势与缺陷入手，着重阐明两者在当前网络与信息安全体系建设中不可或缺的地位，认为应该突破IPS与IDS势不两立的理念，使两者能够不断创新、相辅相成，共同为网络与信息安全建设服务。文中还提供了协同部署防火墙、IDS和IPS的高可用性（HA）网络与信息安全解决方案，以供信息安全工作者和广大用户参考。

2003年8月，Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝，入侵防御将万古长青》的报告，提出入侵检测系统Intrusion Detection System（IDS）已经难以适应客户的需要。IDS不能提供附加层面的安全，相反增加了企业安全操作的复杂性。入侵检测系统朝入侵防御系统Intrusion Prevention System（IPS）方向发展已成必然。

一石激起千层浪。刚刚从IDS脱颖而出的IPS，一时间竟然成了IDS的天敌。两年多来，尽管事实上IDS非但没有退出安全产品阵列，反而不断更新、依然占领着继防火墙之后第二大的安全产品市场份额，但是IDS行将就木的宣传不仅引发了信息安全体系建设上的争执与混乱，而且给客户的信息安全产品选型造成了不应有的压力与彷徨。

1. IDS的功能与缺陷

IDS本质上是一种监听系统，它依照一定的安全策略，对网络与系统的运行状况进行监测，尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果，以保证信息系统的机密性、完整性和可用性。IDS可分为主机型HIDS和网络型NIDS，目前主流IDS产品均采用两者有机结合的混合型架构。

1.1 IDS的传统优势

NIDS使用原始网络信息作为数据源，利用运行在随机模式下的网络适配器实时监听和分析通过网络的所有通信，收集相关信息并记入日志；而HIDS则通常安装在被检测的主机之上，与该主机的网络实时连接，负责对系统审计日志进行智能分析和判断。若发现非法入侵或者违反统计规律的行为异常，IDS会立即发出警报，由系统管理员进行决策处理。IDS的传统优势在于：

整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件；

对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性；

独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证；

同一网段或者一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低。

1.2 IDS的明显缺陷

IDS最明显的缺陷有：

被动防御的监听方式限制阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击，对于建立在UDP基础之上的入侵则无能为力；

基于特征的入侵检测技术落伍。由于缺少信息管理，难于抵挡Canvas和MetaSploit等欺骗工具的攻击和渗透；

误报与漏报率高于客户预期。有些IDS产品每天会产生大量的异常报告，其中绝大多数属于非攻击行为，需要具有相当专业水准的网络安全管理员进行甄别，有时甚至会给客户造成难于忍受的负担；

对于检测主机的依赖性。由于HIDS安装于检测主机之上，不仅消耗检测对象的部分资源，影响到被检测主机的效率，而且还必須針对不同的主机及其系统环境设计和安装各自的HIDS。

2. IPS的优势与弱点

提到IPS，人们常常会谈到一个公式: IPS = Firewall + IDS；也有文献认为，将IDS的传感器置于网络通信线路之内（In-line），让所有网络通信量必须通过它，就得到了一台IPS。这两种看法均有偏颇之处，但是却殊途同归地道出了一个事实：IPS来自IDS。

2.1 IPS的原理与分类

青出于蓝而胜于蓝。IPS串联于通信线路之内，是既具有IDS的检测功能，又能够实时中止网络入侵行为的新型安全技术设备。IPS由检测和防御两大系统组成，具备从网络到主机的防御措施与预先设定的响应设置。图1是北京基格网络技术有限公司研制的基格领袖IPS原理框图，在同类产品中颇具代表性。


图1. 入侵防御系统IPS的原理框图

目前，从保护对象上可将IPS分为三类：

基于主机的入侵防护（HIPS），用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏；

基于网络的入侵防护（NIPS），通过检测流经的网络流量，提供对网络体系的安全保护，一旦辨识出入侵行为，NIPS就阻断该网络会话；

应用入侵防护（AIP），是将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。