入侵检测系统与入侵防御系统的区别

力。

.

明确了这些区别，用户就可以比较理性的进行产品类型选择：

若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。

若用户计划分布实施安全解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统。

若用户仅仅关注网络安全状况的监控(如金融监管部门，电信监管部门等)，则可在目标信息系统中部署入侵检测系统即可。

明确了IPS的主线功能是深层防御、精确阻断后，IPS未来发展趋势也就明朗化了：不断丰富和完善IPS可以精确阻断的攻击种类和类型，并在此基础之上提升IPS产品的设备处理性能。

而在提升性能方面存在的一个悖论就是：需提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+专用语言开发，将已知攻击行为的特征固化在电子固件上，虽然能提升匹配的效率，但在攻击识别的灵活度上过于死板(对变种较难发现)，在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS由于采用的是高级编程语言，不存在变种攻击识别和特征更新方面的问题，厂商的最新产品已经可以达到电信级骨干网络的流量要求，比如McAfee公司推出的电信级IPS产品M8000(10Gbps流量)、M6050(5Gbps)。

所以，入侵防御系统的未来发展方向应该有以下两个方面：

第一， 更加广泛的精确阻断范围：扩大可以精确阻断的事件类型，尤其是针对变种以及无法通过特征来定义的攻击行为的防御。

第二， 适应各种组网模式：在确保精确阻断的情况下，适应电信级骨干网络的防御需求。