浅析IDS与IPS：检测与防护的共生与发展

　　Juniper公司的工程师向记者表示，由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。因此如果把放火防火墙比作大门警卫的话，IDS就是网络中不间断的摄像机。IDS通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案

　　在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出，当前市场上存在的IDS可以分为以下两种：主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志，所以需 要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。而NIDS的分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。

　　从技术上说，无论采用HIDS还是NIDS，都能发现对方无法检测到的一些入侵行为，可互为补充，完美的IDS产品应该将两者结合起来。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。

　　对一个成功的IDS系统来讲，它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供指南。更为重要的是，IDS大多管理、配置简单，从而使企业人员可以非常容易地获得网络安全。另外，好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变。

　　IDS系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括：监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理，并识别违反安全策略的用户活动等。