IPS:主动防御新战略

面对混合威胁的不断发展，传统的安全解决方案已难抵御，安全市场迫切需要多层、深层、主动的防护技术。

飞速发展的互联网为人们的工作、生活铺就便利之路的同时，也埋下了如同地雷般的安全隐患：网络上的攻击行为日益泛滥，一台刚刚联网的计算机，在几个小时之内就有恶意黑客或蠕虫赶来试图侵入。

传统解决之道的利与弊

入侵检测系统是解决黑客入侵的有效方式，入侵检测系统并联在网络上，采用旁路监听的方式，检查网络上传输的所有数据包，入侵检测系统可以检查数据包中携带的应用层信息，因此能及时发现具有威胁的访问，及时地纪录、报警。入侵检测系统的主要缺陷是它检测到入侵后只能采取纪录、报警，而不能采取有效地，及时地阻止入侵行为的措施。当网络安全人员看到报警信息时，入侵已经发生甚至结束了，危害可能已经发生了。侵检测系统的另一个缺陷是不能对付DoS攻击。

由此可见，传统的安全解决方案有其自己固有的缺陷，事实上，根据CSI／FBI的安全报告显示，90％的入侵行为可以绕过防火墙；在网络安全事件中，86％的用户使用了防火墙，42％的用户使用了入侵检测。因为在传统的安全方案中，防火墙和入侵检测系统的相互独立的，不能相互利用，取长补短，因此不能充分发挥各部分之功效。

入侵防御的新型安全理念

实践证明，单一功能的产品已不能满足客户的需求，安全产品的融合、协同、集中管理是网络安全重要的发展方向。入侵防御系统正是解决以上不足的有效途径。

对于IDS系统，人们很自然地会想：既然可以检测到攻击行为，为什么不去阻止它呢?事实上，入侵防御系统正是朝着这个方向努力的。

IPS(Intrusion Prevention System)入侵防御系统，是指不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性攻击的一种智能化安全产品。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用介质访问控制至应用层的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

IPS目前正在蓬勃的发展，IPS技术正处于发展阶段，需要面对很多挑战。单点故障，性能瓶颈，误报和漏报是当前所急需解决的问题。IPS的所存在的缺陷不会阻止人们使用IPS，对待入侵采取主动防御是大势所趋，在建立网络与信息安全体系的过程中，应将IDS与IPS两者有机地结合起来，发挥双方的特长，共同建立现实的信息安全体系。