根据定义，成功的攻击不会被 IPS 或 IDS 检测到。

IPS 和 IDS 的优势在于清除脚本小子、蠕虫和类似的攻击者。

如果您想拥有一个相对安全的 Web 应用程序，您需要使用具有默认拒绝规则集的 Web 应用程序防火墙。是的，以这种方式配置它会很痛苦，而且会花费一些时间，另一方面，它确实是一种“一劳永逸”的解决方案。规则集必须更改的唯一时间是应用程序更改（您知道），而不是攻击者考虑围绕 IPS 或 IDS 的新方法（您或您的 IPS/IDS 供应商不知道） .

IPS 和 IDS “列举了坏处”，而这不再起作用了：计算机安全中的六个最愚蠢的想法

这取决于产品。某些产品能够捕获响应数据包以及攻击数据包。一些产品，著名的 IBM Proventia，将使用成功/失败通知来注释原始事件，如果您打开事件的详细信息，您可以看到它。例如，Proventia 中的所有 HTTP 事件将不仅包括攻击的 URL，还包括响应代码（200、404、500 等）。

如何运行 IDS 有两种方法：

• 检测攻击企图
• 检测成功的攻击

模式由启用的规则定义。在大多数环境中，例如您的环境，没有明确的策略导致触发这两种事件。

如果您只想检测可能成功的攻击（并忽略无论如何都不成功的尝试），只需启用您正在使用的产品和版本的签名。例如，如果您不使用 Apache，则禁用所有 Apache 签名。收集有关您的软件清单的数据并在 IDS 上实施可能需要一些时间。此外，每当您的软件环境发生变化时，您都必须在 IDS 上进行更改。不要低估为此付出的努力。但是，您可以确定攻击尝试和可能的成功，这迟早会真正影响您的环境。

此外，IDS/IPS 签名通常带有类别。例如，TippingPoint的保护过滤器使用类别侦察用于枚举，漏洞用于常见安全问题检测，利用漏洞用于实际攻击尝试引发的操作。剥离启用的类别也可能有助于防止与成功攻击无关的噪音。