足下有绊石

　　IPS的出现可谓是企业网络安全的革命性创新。然而创新意味着对困难的克服，IPS技术必须克服三大障碍。

　　旁路变串接的障碍

　　改进IDS旁路工作方式，使得IPS不仅能旁路工作，还能串接在网络中工作，对攻击的防御由被动防御变成主动防御。

　　串接在网络上后，IPS技术的一些痼疾就展现出来了。

　　第一个是漏报误报率问题。IDS因为检测手法比较单纯，漏报误报一直是IDS产品的弱点，人们甚至因此对IDS的实用性产生了怀疑。IDS因为是被动防御，产生误报后只要没有联动措施，都不会影响网络的正常工作。而IPS是串接在网络中的主动防御，产生误报后将直接影响网络的正常工作。这样安全产品就变成网络的故障点了。

　　举例来说，机场在安检处检查旅客时，不能仅凭旅客是否鬼鬼祟祟，冒似恐怖分子就把他抓起来，如果抓错人会直接影响机场的正常工作秩序，必须有搜身，验指纹等新的技术，保证抓获的是真正的恐怖分子。

　　第二个是性能问题。IDS因为是旁路工作，对实时性要求不高，而IPS串接在网络上，要求必须像网络设备一样对数据包做快速转发。因此，IPS需要在不影响检测效率的基础上做到高性能的转发。

　　举例来说，安检是要对每个旅客检查的项目多了，但不能因此耽误飞机的起飞时间。这就对检查时间提出了高要求，必须能快速检查完更多的项目。

　　功能延伸的障碍

　　IPS技术必须大大扩展安全功能，在网络蠕虫的预防、BT下载的限制、垃圾邮件的防范等方面做更多的工作。这些工作对传统的IDS技术来说力不从心，就像以前的机场安检让“911”的劫机犯混过安检一样，现在的机场安检必须能检查出来这种恐怖分子。

　　扩大规则库的障碍

　　随着网络蠕虫等自动攻击的泛滥，一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求，用户需要看到哪种蠕虫或后门木马。

　　这就需要厂商在规则库的更新和维护上投入更多的资源，不光是跟踪官方公布的漏洞和最常见的攻击程序等，还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上，更新速度要达到每天更新，现有的IDS规则更新体系已经满足不了IPS要求。

图1 IPS工作原理

图2 IPS系统结构图

        前面提到的这些障碍，IPS技术如何克服呢？

　　总体来说，IPS一般采用ASIC、FPGA或NP（网络处理器）等硬件设计技术实现网络数据流的捕获，检测引擎综合特征检测、异常检测、DoS检测、缓冲区溢出检测等多种手段，并使用硬件加速技术进行深层数据包分析处理，能高效、准确地检测和防御已知、未知的攻击及DoS攻击。

　　同时，实施多种响应方式，如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等，突破了传统IDS只能检测不能防御入侵的局限性，提供了一个完整的入侵防护解决方案。

　　具体来说，IPS用应用层代理引擎技术解决漏报误报率问题，用引擎硬件化技术解决性能问题。

　　应用层代理引擎降低误报漏报率

　　和IDS相比，IPS应具有高性能、低漏报误报率、防范种类多等特点。要取得这些技术突破，现有IDS的技术积累显然是不够的。反病毒引擎在准确报警方面是IDS引擎学习的目标。

　　从产业发展的角度看，反病毒技术比IDS技术成熟，在反病毒引擎技术中已经运用多项的技术，例如虚拟机技术等。这些技术的使用，保证了反病毒产品的低漏报误报率。实际上，反病毒产品检测的准确性已经可量化，而IDS技术的准确性还没有一个公认的衡量标准。

　　反病毒产品对规则库的跟踪和维护有着更高的要求，反病毒产品的规则库在十万条左右，数量上超过IDS几十倍，并且对规则库更新的要求更高。IDS对规则库的更新周期以周为单位，反病毒产品对规则库的更新周期以天为单位。