IDS vs IPS：逐步演进还是彻底变革？

　　不管人们对入侵防御系统（IPS）信还是不信，反正在国际上，IPS厂商在不断改进IPS产品，而顾客也在不断购买它。

　　“别去买入侵检测系统（IDS）！”Gartner的分析家在2002年8月的一项研究评论中这样向用户建议。这位分析家特别指出: “IDS未能提供另一层安全，反而还会给公司的安全操作增添麻烦。”他建议公司应该考虑选择入侵防御系统（IPS）。这项研究评论提到了2002年安全市场上讨论得沸沸扬扬的一个问题：既然可以阻断攻击，干嘛只是检测呢？

　　传统的IDS只能在旁路上通过探测经过交换端口的数据包，以被动方式监控数据流量；而IPS则能够实时阻断攻击，它不是旁路安装而是在线安装，因此能主动截获并转发数据包。借助于在线方式，IPS可根据设定的策略丢弃数据包或拒绝连接。传统IDS的响应机制非常有限，比如只能做到对TCP连接复位或者请求更改防火墙规则等。

　　但是，IPS产品只是IDS的逐步演进呢还是两者全然不同？这要看你在问哪家厂商，它们又在销售什么产品。

　　“Gartner认为，IPS是下一代IDS，IPS可能会成为下一代防火墙。”IDS厂商Sourcefire的创办人马蒂·罗施说。罗施编写了著名的Snort IDS软件，这种基于规则的开放源代码程序可用于编写检测特征。罗施坚持认为，IDS和IPS是两种互不相同的技术。“IPS侧重访问控制，IDS侧重网络监控。IPS注重实施策略，IDS注重安全审查。IDS的职责不是保护网络，而是告诉你网络的安全状况。”

　　但这番话在更广泛的安全市场得不到认同。Infonetics调研公司的执行主任杰夫·威尔逊说：“普通人并不想仅仅监控流量、检查数据，或者根据已检测到的攻击更改规则或策略，而是想阻止攻击。”

　　其他老牌IDS厂商已发觉了市场的这种观点。克里斯·克劳斯是IDS主要厂商ISS的CTO兼创办人之一。他说：“我们在迅速开发具有防御而不仅仅是检测功能的产品。”克劳斯强调，这一概念涵盖防御和检测两项技术，为此，ISS利用在线狙击攻击的基于网络和主机的IPS技术，增强了其旗舰产品RealSecure IDS的功能。

　　这个产品系列的佼佼者是RealSecure Guard，这是ISS在2001年收购NetworkICE公司而获得的软件IPS。只要装到服务器上，Guard就直接在线安装在某网段上，它依赖协议异常检测来发现漏洞，并在攻击到达目的主机之前实时丢弃策略。

　　IDS市场的第二大厂商思科称，目前，“防御”更多的只是一种营销策略，而不是实际产品。但这仅仅是因为该公司还没有推出自己的IPS产品。“我们的设想是，一旦解决了IDS的准确性问题，就能提供防御功能。”思科的安全设备经理约耳·麦克法兰说。

　　宣传检测防御产品最积极的厂商还有IntruVert和Tipping Point科技两家新兴的公司，防火墙重量级厂商NetScreen科技公司反倒紧随其后。三家公司都推出了硬件设备，希望能够取代传统的被动型IDS。