安全类争论

IDS vs. IPS

Gartner曾预言，入侵检测系统(IDS)在2005年就会死亡。

4年前，Gartner宣称，消极监控恶意流量的IDS会在2005年“死亡”，并将会被主动禁止恶意流量的入侵防御系统(IPS)扫地出门。这立刻引发了一场大辩论。

Gartner声称，购买IDS来监控不请自来的流量是对时间和金钱的浪费，并敦促企业管理者开始购买联机IPS产品，加固企业平台，以阻挡主要来自互联网的恶意攻击流量。但是，在用联机IPS阻挡不良流量的同时，也有可能会错误地把好的流量拒之门外，IDS的支持者们批评道。

2003年时，IPS产品还刚刚起步，业界对其防御的准确性也深表怀疑。而IDS的质量人们已经熟知。不过，IDS也存在这样那样的缺陷，有时候还会生成虚假的防御信息，而绝大多数人并不真正知道该拿监控过程中产生的海量信息怎么办。

那么，Gartner凭什么说IDS将亡呢？

“我觉得支持这一结论的逻辑是相当错误的，他们的建议也很难理解。”这是当时Sourcefire的CTO、IDS的开发者Martin Roesch的回应。但他同时也补充说：“说句公道话，Gartner的担心还是有些事实基础的。毫无疑问，IDS还必须不断地改进，才有可能完全发挥其潜力。”

今天，这个问题仍然是个有争议的问题。而市场上的IPS产品(一般需要依赖IDS的侦测技术来标记出现的问题)也倾向于在混合模式下工作，管理者既可以大胆地禁止恶意流量，也可以进行被动检测，或者两者同时进行，这要依系统的配置而定。安全厂商一直不肯透露他们的IDS和IPS产量的数字，但是根据IDC的估计，IPS产品从2005年开始超越了IDS。一些独立机构所做的连续测试也有助于我们了解IPS的优势和缺陷。

《Network World》去年做过的产品测试就发现，有些IPS产品在高速时并没有低速时那么准确。