安全知識：入侵防御系統(tǒng)的過去、現(xiàn)在和未來

　　入侵防御系統(tǒng)（Intrusion Prevention System，IPS）是這段時間網(wǎng)絡安全業(yè)內(nèi)比較熱門的一個詞，這種既能及時發(fā)現(xiàn)又能實時阻斷各種入侵行為的安全產(chǎn)品，自面世那天起，就受到各大安全廠商和用戶的廣泛關注。

　　有人認為，入侵防御系統(tǒng)（IPS）就是入侵檢測系統(tǒng)（Intrusion Detection System，IDS）的升級產(chǎn)品，有了IPS，就可以替代以前的IDS系統(tǒng)，這也正是gartner 在2003年發(fā)表那篇著名的“IDS is dead” 的理由。

　　從入侵防御系統(tǒng)的起源來看，這個“升級說”似乎有些道理：Network ICE公司在2000年首次提出了IPS這個概念，并于同年的9月18日推出了BlackICE Guard，這是一個串行部署的IDS，直接分析網(wǎng)絡數(shù)據(jù)并實時對惡意數(shù)據(jù)進行丟棄處理。

　　但這種概念一直受到質疑，自2002年IPS概念傳入國內(nèi)起，IPS這個新型的產(chǎn)品形態(tài)就不斷地受到挑戰(zhàn)，而且各大安全廠商、客戶都沒有表現(xiàn)出對IPS的興趣，普遍的一個觀點是：在IDS基礎上發(fā)展起來的IPS產(chǎn)品，在沒能解決IDS固有問題的前提下，是無法得到推廣應用的。

　　這個固有問題就是“誤報”和“濫報”，IDS的用戶常常會有這種苦惱：IDS界面上充斥著大量的報警信息，經(jīng)過安全專家分析后，被告知這是誤警。但在IDS旁路檢測的部署形式下，這些誤警對正常業(yè)務不會造成影響，僅需要花費資源去做人工分析。而串行部署的IPS就完全不一樣了，一旦出現(xiàn)了誤報或濫報，觸發(fā)了主動的阻斷響應，用戶的正常業(yè)務就有可能受到影響，這是所有用戶都不愿意看到和接受的。正是這個原因，導致了IPS概念在05年之前的國內(nèi)市場表現(xiàn)平淡。

　　隨著時間的推進，自2006年起，大量的國外廠商的IPS產(chǎn)品進入國內(nèi)市場，各本土廠商和用戶都開始重新關注起IPS這一并不新鮮的“新”概念。

　　IPS到底是什么？

　　“IPS可以阻斷攻擊，這正是IDS所做不了的，所以IPS是IDS的升級，是IDS的替代品”，可能很多人都會有這種看法。

　　我們先來看IPS的產(chǎn)生原因：

　　A：串行部署的防火墻可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力。

　　B：旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時的阻斷。

　　C： IDS和防火墻聯(lián)動：通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個會話就可以達成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯(lián)動在實際應用中的效果不顯著。

　　于是就有下面的一種想法。

　　這就是IPS產(chǎn)品的起源：一種能防御防火墻所不能防御的深層入侵威脅（入侵檢測技術）的在線部署（防火墻方式）安全產(chǎn)品。

　　而為什么會有這種需求呢？是由于用戶發(fā)現(xiàn)了一些無法控制的入侵威脅行為，這也正是IDS的作用。

　　入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數(shù)據(jù)進行檢測和報警，告知使用者網(wǎng)絡中的實時狀況，并提供相應的解決、處理方法，是一種側重于風險管理的安全產(chǎn)品。

　　入侵防御系統(tǒng)（IPS）對那些被明確判斷為攻擊行為，會對網(wǎng)絡、數(shù)據(jù)造成危害的惡意行為進行檢測和防御，降低或是減免使用者對異常狀況的處理資源開銷，是一種側重于風險控制的安全產(chǎn)品。

　　這也解釋了IDS和IPS的關系，并非取代和互斥，而是相互協(xié)作：沒有部署IDS的時候，只能是憑感覺判斷，應該在什么地方部署什么樣的安全產(chǎn)品，通過IDS的廣泛部署，了解了網(wǎng)絡的當前實時狀況，據(jù)此狀況可進一步判斷應該在何處部署何類安全產(chǎn)品（IPS等）。