IDS 和 IPS 有什么區別

• 含義不同

  IDS入侵檢測系統。IDS主要檢測系統內部，運行在被監控的主機上，對主機的網絡行為、系統日志、進程和內存等指標進行監控。IPS是檢測在系統的防火墻和外網之間，針對流向內部的流量進行分析。監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

  做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，實時監視系統會發現情況并發出警告。

  IPS：入侵防御系統。IPS是位于防火墻和網絡的設備之間。這樣，如果檢測到攻擊，IPS會在遭到攻擊前做好預防阻止攻擊的發生。IDS屬于被動檢測，存在于網絡之外起到預警的作用，而不是在網絡前面起到防御的作用。

• 作用不同

  IDS專業上講就是依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

  IPS入侵防御系統是電腦網絡安全設施，是對防病毒軟件和防火墻的補充。入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

• 部署位置不同

  IDS通常采用旁路接入，在網絡中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護資源，這些位置通常是：服務器區域的交換機上；Internet接入路由器滯后的第一臺交換機上；重點保護網段的局域網交換機上。

  IPS通常采用Inline接入，在辦公網絡中，至少需要在以下區域部署：辦公網與外部網絡的連接部位（入口/出口）；重要服務器集群前端；辦公網內部接入層。

• 工作機制不同

  IDS主要針對已發生的攻擊事件或異常行為進行處理，屬于被動防護。以NIDS為例：NIDS以旁路方式，對所監測的網絡數據進行獲取、還原，根據簽名進行模式匹配，或者進行一系列統計分析，根據結果對有問題的會話進行阻斷，或者和防火墻產生聯動。IDS的致命缺點在于阻斷UDP會話不太靈，對加密的數據流束手無策。

  IPS針對攻擊事件或異常行為可提前感知及預防，屬于主動防護。根據設置的過濾器，分析相對應的數據包，通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

  IPS的阻斷方式較IDS更為可靠，可以中斷攔截UDP會話，也可以做到確保符合簽名規則的數據包不漏發到被保護區域。

  IPS致命的缺點是同樣硬件的情況下，性能比IDS低的多。實際應用中，誤殺漏殺和IDS一樣，主要是簽名庫決定的。但是隨著UDP協議的廣泛使用，IPS在UDP上的誤殺率可能會高于IDS。

回答所涉及的環境：聯想天逸510S、Windows 10。