【TechTarget中国原创】问:IDS和IPS的相似之处和区别是什么?在网络上他们可以被用于发挥相同的作用吗?
答:实际上,入侵检测系统(IDS)和入侵防御系统(IPS)在技术上非常类似,但是他们在网络上的功能有些不同。
IPS和IDS工具都是为监控网络活动的迹象和滥用而设计的。它们识别潜在的恶意流量的有以下两种基本策略:
•特征检测系统有一个包含已知恶意活动的样本的数据库。它们观察通信的所有和样本匹配的网络流量。如果发生了匹配,就会触发警告。
•异常检测系统监控网络,并在一段时间,即“培训时期”内创建正常行为模式。然后他们观察网络中背离标准的活动。如果差异太大,异常检测系统就会触发警告。
IPS和IDS的差异在于他们处理警告的方式。单纯的IDS系统简单地通知管理有可疑行为的发生。在另一方面,IPS系统可以阻止可疑流量近土网络。实际上,两种系统都关注故意目的行为。大部分的入侵检测产品都可以在IPS或者IDS模式中运行,这都取决于用户的结构。