曾经入侵检测系统（IDS）和入侵防御系统（IPS）被认为是解决企业内部检测攻击的最佳方案。 但近来IPS/IDS技术被认为是过时，无效和无用的。而事实上它介于这两种极端观点之间。IPS/IDS技术是全面攻击和漏洞检测系统的重要组成部分，它们与其他类型的企业安全控制协同工作。

　　与10或15年前相比，IDS/ IPS技术并没有很大的改变，但也有重大的技术创新和改变，提高了检测能力。本文将会带给你IPS/IDS的最新技术，新功能和其他显著变化。

　　信誉服务

　　很多基于网络和基于主机的IDS和IPS产品最近都增加了信誉服务。这些服务已经在其他类型的安全控制中使用多年。信誉服务能收集域名，IP地址，应用协议，物理位置和计算活动的其他方面信息。然后，IPS/IDS系统利用这些信息来确定新的活动是否是是恶意的。此信息对提高确定IPS/IDS警报的优先级特别有价值。例如，IPS/IDS传感器可以对各类不寻常的活动发出警报，但是这些IP地址之一的其他恶意操作历史记录可能会提升它的分析优先级，因为它可能是有恶意的。

　　无线IPS/IDS的改进

　　无线IPS/IDS技术比其他形式的IPS/IDS技术都要先进。随着无线技术的发展，无线IPS/IDS技术正不断扩大自己的能力。例如，自从IEEE 802.11n传输标准确定后，大多数无线IPS/IDS技术已经增加了对此标准的支持。

　　不管企业是否支持无线设备，企业使用无线IPS/IDS都是一个很好的选择。如果企业支持无线，包括BYOD（自备设备），那么就更需要监控来避免网络配置错误和攻击。如果企业不准许使用无线技术，无线IPS/IDS仍然可以检测出未经授权的使用，甚至帮助企业自身找到哪里有无线。

　　企业应该充分利用企业移动设备管理（MDM）软件所提供的与无线IPS/IDS一样的性能。这样的软件越来越多地部署在企业内部，用来帮助企业管理智能手机，平板电脑和其他移动设备。

　　SSL加密流量的在线检测

　　随着HTTPS和其它加密协议应用的增加，网络IPS/IDS传感器普遍对检测网络流量已变得没有多大作用。然而，最近一些网络IPS/IDS产品增加了内网部署和检测SSL加密流量的能力。这些产品基本上就是充当一个代理，它建立了两个SSL的连接：一个从端点A连接到IPS/IDS传感器，另外一个从IPS/IDS传感器连接到端点B，从端点A到端点B就不是单一的SSL连接，而是通过传感器加密。事实上，这种设备可以对一个加密的数据包进行解密，检测，再加密，然后将其无显著延迟的发送。而且它也在连接中插入一个代理，代理自身是安全和可靠的。企业可能更倾向于使用基于主机的IPS/IDS而不是基于网络的IPS/IDS进行SSL加密流量检测。

　　虚拟环境中IPS/IDS的应用

　　云计算的兴起带来了对云安全技术的特性需求。值得庆幸的是，hypervisor（虚拟机管理器）是监控一个虚拟实例和不同虚拟实例间网络行为的好地方，更知名的叫法师内部检测。一些hypervisor主动提供自己的入侵检测技术，另外一些hypervisor可以把内部检测收集而来的信息传递到外部安全的控件，例如，标准的基于主机的IPS/IDS来检测和发出警报。企业要确保当一个虚拟实例从一个云服务器移到另一个时，其安全策略（包括IPS/IDS配置）也一并被转移。