隨著互聯(lián)網(wǎng)安全問題的升級，IPS系統(tǒng)即網(wǎng)絡防火墻及IDS之后成為完善網(wǎng)絡安全問題的熱門產(chǎn)品。IPS系統(tǒng)（Intrusion Prevention System ， 入侵防御系統(tǒng)）簡單來說，IPS系統(tǒng)是位于防火墻和網(wǎng)絡的設備之間。這樣，如果檢測到攻擊，IPS系統(tǒng)會在這種攻擊擴散到網(wǎng)絡的其它地方之前阻止這個惡意的通信。那么相對于IDS，IPS系統(tǒng)的出現(xiàn)究竟是替代了IDS技術還是IDS技術的升級版呢？

有人指出，入侵防御系統(tǒng)（IPS）就是入侵檢測系統(tǒng)（Intrusion Detection System，IDS）的升級產(chǎn)品，有了IPS系統(tǒng)，就可以替代以前的IDS系統(tǒng)，這也正是gartner在2003年發(fā)表那篇著名的“IDS is dead” 的理由。

從入侵防御系統(tǒng)的起源來看，這個“升級說”似乎有些道理：NetworkICE公司在2000年首次提出了IPS系統(tǒng)這個概念，并于同年的9月18日推出了BlackICEGuard，這是一個串行部署的IDS，直接分析網(wǎng)絡數(shù)據(jù)并實時對惡意數(shù)據(jù)進行丟棄處理。

但IPS系統(tǒng)真的會取代IDS系統(tǒng)嗎？IPS系統(tǒng)是在IDS系統(tǒng)的基礎上發(fā)展出來的，IDS是一種網(wǎng)絡安全系統(tǒng)，當有敵人或者惡意用戶試圖通過Internet進入你的網(wǎng)絡甚至計算機系統(tǒng)時，這種系統(tǒng)可以檢測出來，并進行報警，通知你采取措施進行響應。就像買汽車保險一樣，IDS也被認為是“最好買上，以防萬一”的東西，否則等到出事兒的時候就晚了。IPS系統(tǒng)（入侵防御系統(tǒng)）的出現(xiàn)，應該說是IDS技術的一種新發(fā)展趨勢，IPS系統(tǒng)在IDS監(jiān)測的功能上又增加了主動響應的功能，一旦發(fā)現(xiàn)有攻擊行為，立即響應，主動切斷連接。它的部署方式不像IDS并聯(lián)在網(wǎng)絡中，而是以串聯(lián)的方式接入網(wǎng)絡中，學過物理的話，應該理解串連與并連的區(qū)別吧，這里的串連與并連有異曲同工之妙，就像你說的一樣，IPS系統(tǒng)確實好于IDS系統(tǒng)，它更主動，但從筆者的觀點來說，它們只能算是父子關系入侵檢測是一門綜合性技術，既包括實時檢測技術，也有事后分析技術。

看了上面這么多內(nèi)容，你可能會有些覺得混亂，下面我沒來看看IPS系統(tǒng)到底是什么，以及他的未來前景如何！

一、IPS系統(tǒng)到底是什么？

“IPS系統(tǒng)可以阻斷攻擊，這正是IDS所做不了的，所以IPS系統(tǒng)是IDS的升級，是IDS的替代品”，可能很多人都會有這種看法。

我們先來看IPS系統(tǒng)的產(chǎn)生原因：

A：串行部署的防火墻可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力。

B：旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時的阻斷。

C：IDS和防火墻聯(lián)動：通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個會話就可以達成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯(lián)動在實際應用中的效果不顯著。 #p#

二 IPS系統(tǒng)的優(yōu)勢在哪里：

實時檢測與主動防御是IPS系統(tǒng)最為核心的設計理念，也是其區(qū)別于防火墻和IDS的立足之本。為實現(xiàn)這一理念，IPS系統(tǒng)在如下四個方面實現(xiàn)了技術突破，形成了不可低估的優(yōu)勢：

1、在線安裝(In-Line)。IPS系統(tǒng)保留IDS實時檢測的技術與功能，但是卻采用了防火墻式的在線安裝，即直接嵌入到網(wǎng)絡流量中，通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中；

2、實時阻斷（Real-time Interdiction）。IPS系統(tǒng)具有強有力的實時阻斷功能，能夠預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成任何損失；

3、先進的檢測技術（Advanced Detection Technology）。主要是并行處理檢測和協(xié)議重組分析。所謂并行處理檢測是指所有流經(jīng)IPS系統(tǒng)的數(shù)據(jù)包，都采用并行處理方式進行過濾器匹配，實現(xiàn)在一個時鐘周期內(nèi)，遍歷所有數(shù)據(jù)包過濾器；而協(xié)議重組分析是指所有流經(jīng)IPS系統(tǒng)的數(shù)據(jù)包，必須首先經(jīng)過硬件級預處理，完成數(shù)據(jù)包的重組，確定其具體應用協(xié)議。然后，根據(jù)不同應用協(xié)議的特征與攻擊方式，IPS系統(tǒng)對于重組后的包進行篩選，將可疑者送入專門的特征庫進行比對，從而提高檢測的質(zhì)量和效率；

4、特殊規(guī)則植入功能（Build-in Special Rule）。IPS系統(tǒng)允許植入特殊規(guī)則以阻止惡意代碼。IPS系統(tǒng)能夠輔助實施可接收應用策略(AUP)，如禁止使用對等的文件共享應用和占有大量帶寬的免費互聯(lián)網(wǎng)電話服務工具等；

5、自學習與自適應能力（Self-study & Self-adaptation Ability）。為了應對黑客們處心積慮、花樣翻新的攻擊手段，IPS系統(tǒng)必須具有人工智能的自學習與自適應能力。能夠根據(jù)所在網(wǎng)絡的通信環(huán)境和被入侵狀況，分析和抽取新的攻擊特征以更新特征庫，自動總結經(jīng)驗，定制新的安全防御策略。

三 IPS系統(tǒng)的未來發(fā)展方向是什么：

IPS系統(tǒng)的主線功能是深層防御、精確阻斷，IPS系統(tǒng)未來發(fā)展趨勢也就明朗化了：不斷豐富和完善IPS系統(tǒng)可以精確阻斷的攻擊種類和類型，并在此基礎之上提升IPS系統(tǒng)產(chǎn)品的設備處理性能。

而在提升性能方面存在的一個悖論就是：需提升性能，除了在軟件處理方式上優(yōu)化外，硬件架構的設計也是一個非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+專用語言開發(fā)，將已知攻擊行為的特征固化在電子固件上，雖然能提升匹配的效率，但在攻擊識別的靈活度上過于死板（對變種較難發(fā)現(xiàn)），在新攻擊特征的更新上有所滯后（需做特征的編碼化）。而基于開放硬件平臺的IPS系統(tǒng)由于采用的是高級編程語言，不存在變種攻擊識別和特征更新方面的問題，但在性能上存在處理效率瓶頸：暫時達不到電信級骨干網(wǎng)絡的流量要求。

所以，入侵防御系統(tǒng)的未來發(fā)展方向應該有以下兩個方面：

第一， 更加廣泛的精確阻斷范圍：擴大可以精確阻斷的事件類型，尤其是針對變種以及無法通過特征來定義的攻擊行為的防御。

第二， 適應各種組網(wǎng)模式：在確保精確阻斷的情況下，適應電信級骨干網(wǎng)絡的防御需求。

四 IPS系統(tǒng)與IDS系統(tǒng)的未來

IPS系統(tǒng)目前不可能取代IDS系統(tǒng)，我們既看到了IPS系統(tǒng)蓬蓬勃勃的增長勢頭，但又要承認IDS在入侵檢測領域的傳統(tǒng)優(yōu)勢，肯定IPS系統(tǒng)目前尚不可能完全取代IDS系統(tǒng)的基本事實，在建立自己的網(wǎng)絡與信息安全體系的過程中，將兩者有機地結合起來才是保證我們網(wǎng)絡安全的正確選擇。

【編輯推薦】

1. 利用IPS完美構建企業(yè)立體Web安全防護網(wǎng)
2. 解決方案：UTM和IPS兼顧立體安全防護
3. 從攻擊規(guī)避檢測技術看IPS的安全有效性
4. WAF vs IPS 誰更適合防護Web應用？
5. IPS破解銀行網(wǎng)絡出口的內(nèi)憂外患