入侵检测及网络安全发展技术探讨(2)

三、IDS技术的发展

IDS虽然存在一些缺陷，但换个角度我们看到，各种相关网络安全的黑客和病毒都是依赖网络平台进行的，而如果在网络平台上就能切断黑客和病毒的传播途径，那么就能更好地保证安全。这样，网络设备与IDS设备联动就应运而生了。

IDS与网络交换设备联动，是指交换机或防火墙在运行的过程中，将各种数据流的信息上报给安全设备，IDS系统可根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的动作，并将这些对安全事件反应的动作发送到交换机或防火墙上，由交换机或防火墙来实现精确端口的关闭和断开，由此即产生了入侵防御系统（IPS）的概念。

简单地理解，可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能，力求做到一旦发现有攻击行为，立即响应，主动切断连接。它的部署方式不像IDS并联在网络中，而是以串联的方式接入网络中，其功能示意如图2所示。

图2：IPS功能示意图

除了IPS，也有厂商提出了IMS（入侵管理系统）。IMS是一个过程，在行为未发生前要考虑网络中有什么漏洞，判断有可能会形成什么攻击行为和面临的入侵危险；在行为发生时或即将发生时，不仅要检测出入侵行为，还要主动阻断，终止入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过关联分析，来判断是否还会出现下一个攻击行为。