常常有人講說IDS、IPS,但兩者差在哪裡?
簡單來講,如果IDS是一般的偵測系統,那麼IPS就是加強版的偵測系統。
IPS不僅只有發出警訊(日誌)的功能,他本身還有一個重要的功能,就是會主動地阻擋攻擊,他會自己判斷,並且做出最適當的反應。
簡單來說,IPS的優勢就是當攻擊還沒達到他的目的時就先跳出來阻擋。
相較之下IDS,他只會單純的發送警訊,並且單純地用日誌方式提醒使用者,例如透過日誌的方式告訴你有危險的意思。
然而現今的網域並非我們想的這麼容易,因為網路的頻寬已經越來越大了,所以偵測系統也會出現誤判。如過要在短的時間去判斷大量的攻擊,是不可能不會出錯的。
在使用上 IDS與IPS之間存在一些爭議,因為講到IPS他會主動地把偵測到的攻擊選擇性隔離,所以IPS也可能會把一些正常的流量阻擋,例如本來是正常的流量,但是被誤判成危險的流量,所以被擋掉,這樣通常會影響到內部的運作。
在判斷正確和錯誤的攻擊,就足以讓管理者頭痛了,所以之後也提出了一些技術,像是延長攻擊的反應時間、用機器判斷攻擊..等