浅析IDS与IPS：检测与防护的共生与发展

　　另外，一些业内的主流厂商，如Cisco、Checkpoint、ISS以及华为3Com等，他们一般采用基于模式匹配、异常情况或者完整性分析的判断方法。

　　对于基于模式匹配的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现，此方法非常类似杀毒软件;而基于异常情况的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况;而完整性分析则关注文件或对象是否被篡改，主要根据文件和目录的内容及属性进行判断，这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。

　　从IDS到IPS

　　前面说过了，即便本着用户的呼声，IDS已经流露出了少许“该出手时就出手”的势头，但这毕竟是后话。为了解决IDS旁路侦听模式的弊端，IPS的概念被提了出来----一种采用在线模式的，可以对所有攻击采取适时行动的入侵防御系统。

　　在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下，IPS的出现恰恰带有时势造英雄的味道。

　　无疑，IPS倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS?是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉。