【网路安全】中入侵检测系统（IDS）是主动防御还是被动防御？

这是一个比较偏向于理解视角方面的问题，感觉可以用一点文科生的思维来描述一下。

主动被动从来都是要有着相对应的一个主体而言的，就好像我用我的脸去撞你的拳头和我的脸被你打了一拳，结果其实都是一样的，但是从脸或拳头的角度去讨论的话，主被动明显是不一样的。

而对于IDS的主动和被动这一点来说，应该也是相对于不同主体的结果。如果说网络安全是一道门，将IDS视作为保安，那么各种流量访问就是想进你家的访客。我们可以下一个简单的定义：如果说每位访客进来前保安都会提醒访客“亮码”，那么绿码的就是正常访客，红码的就是密接。那么保安（IDS）就会根据这一情况采取不同的措施：绿码的放进来，红码的赶紧报警。

那么主被动其实就是相对于这一个“亮码”的行为来说了：从访客的角度来说，亮码是被动的，因为保安只能被动的等到了门口的访客来亮码，不可能主动出击，把周围所有人的码都查一遍，所以IDS的防御必须要等到攻击者发动攻击后才能被动响应，不可能提前预知；

但如果反过来说，访客在进门前也会被保安要求亮码，这是保安的一个主动行为，不然访客是不会自己主动亮码的，并且这种行为也是近几年出现的，之前的保安从未要求这一点，所以IDS相比于之前那些一股脑把访客全放进来的保安，就是更加“主动”的。

所以这个问题最终还是取决于主被动相对的主体而言，其实教材上也是有所体现的：就IDS本身的特性而言，它是“被动的”，但是相对于之前的网络安全模型而言，它则是“主动的”。

当然，对于这种“被动”的安全防护，随着这些年网络安全技术的发展，网络安全产品的方向也是更偏向于在这种“被动”中将自己所能达到的“主动”程度做到最大：检测与响应。

什么是检测与响应？

纵观国内外安全市场，品类繁多，新概念层出不穷。

但仔细观察不难看出，任何一种品类都可以用这三个维度来表述：

“保护对象”——保护的是什么？

“技术手段”——用的是什么方法？

“解决问题”——解决了什么问题？

如果剥离掉前两个问题，单问“解决了什么问题”，大多数产品都不会跳出两类问题：“访问控制”和“检测响应”。

所谓“访问控制”就相当于物理空间的围墙和门窗，解决的问题是：“谁能通过什么途径接触到什么内容，建立一个边界”（动态不一定是静态或实体的，也有可能是动态或虚拟的。

所谓“检测响应”就是及时发现和处置越界者，有点像物理空间的监控摄像头或者报警器的作用。

“检测与响应”的理念逐渐流行起来，是因为“失陷常态化”主动防御思想，主流安全观念逐渐接受了“企业被黑客攻陷是常态”的事实。

既然黑客总有办法突破“访问控制”，那么“检测响应”的作用就日益凸显，因此通过不同手段实现的检测响应产品与服务，比如EDR（端点检测响应）、NDR（网络检测响应）、MDR（安全检测响应服务）等等，都在近年来企业安全预算的投入中快速提升，并最终组合形成新的XDR（可拓展安全检测响应）品类。

XDR可以简单理解为各种DR的组合，当然，不是多个产品的简单堆积，而是跨区域收集来自多种安全设施的检测数据，并进行统一的集成、关联和上下文等事件化分析，以全局视角进行威胁研判，从而获得更准确和全面的检测结果，打破信息孤岛和安全产品各自为战的局面。

微步的产品和服务体系主要就是围绕“检测与响应”来做的，例如：一、威胁感知平台TDP

威胁感知平台TDP是情报驱动的新一代网络流量检测与响应（NDR）产品，基于旁路流量的全方位威胁检测与响应平台，广泛覆盖传统僵木蠕、APT、Web 和非 Web 攻击、业务风险挖掘、资产梳理。 微步在线威胁感知平台TDP可通过流量，自动化识别企业开放的服务、端口、中间件、数据库、弱密码、传输文件等企业所有资产，动态及时发现企业存在的资产风险并实时告警，帮助企业及时做好资产风险排查与加固，打好安全防御基础。

二、主机威胁检测与响应平台OneEDR

OneEDR是一款专注于主机入侵检测与响应的新型终端安全防护平台，通过轻量级的终端Agent收集终端的进程、网络、文件等系统行为日志，在服务端利用威胁情报，文件检测引擎与全攻击链路行为分析等技术手段，实现对主机入侵的精准发现、自动化告警关联、攻击链路可视化展示与高效溯源、入侵事件响应及阻断等功能，同时支持对终端海量行为日志进行灵活检索。

三、本地威胁情报管理平台TIP

部署在用户本地的威胁情报管理、生产和共享中心，可以帮助企业安全人员落地自有情报数据能力，整合多源、赋能其他平台、自动化联动设备、自有情报生产和情报共享。

四、检测及响应服务MDR

是由资深安全专家提供外部资产监控服务、威胁巡检服务、应急响应服务、暗网监控服务、高级情报订阅、重保驻场服务，对企业内外部威胁及时发现、告警、处置、响应，并对攻击者进行画像分析与溯源分析。针对主流威胁、重大安全事件、高危APT等事件进行深度分析，提供预警、防范、处置及修复建议。针对金融、能源、政府等重点行业威胁情报及安全事件提炼分析，提供处置及应对的最佳实践，帮助提升企业安全水平。

我是『微步在线』，立志成为世界顶级的实力型网络安全公司，守护数字世界的安全！欢迎大家向我咨询网络安全问题，可以邀请我回答问题，也可以直接知乎私信问我，知无不言，有问必答！

（编辑：南京站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!