隨著互聯(lián)網(wǎng)安全的意識(shí)逐漸深入人心，傳統(tǒng)的防火墻技術(shù)在對(duì)于網(wǎng)絡(luò)入侵的已經(jīng)具有很大的局限性。隨著技術(shù)的飛速發(fā)展，人們已經(jīng)不僅滿足于防火墻的保護(hù)，其后IDS的出現(xiàn)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段。但是，人們也逐漸意識(shí)到IDS所面臨的問題。IDS是以被動(dòng)的方式工作，只能檢測(cè)攻擊，而不能做到真正實(shí)時(shí)地阻止攻擊。于是誕生了IPS技術(shù)，我們稱之為入侵防御系統(tǒng)填補(bǔ)了這一項(xiàng)空白。

IPS技術(shù)的出現(xiàn)可謂是企業(yè)網(wǎng)絡(luò)安全的革命性創(chuàng)新。然而創(chuàng)新意味著對(duì)困難的克服，IPS技術(shù)必須克服三大障礙。

旁路變串接的障礙

改進(jìn)IDS旁路工作方式，使得IPS不僅能旁路工作，還能串接在網(wǎng)絡(luò)中工作，對(duì)攻擊的防御由被動(dòng)防御變成主動(dòng)防御。

串接在網(wǎng)絡(luò)上后，IPS技術(shù)的一些痼疾就展現(xiàn)出來了。

第一個(gè)是漏報(bào)誤報(bào)率問題。IDS因?yàn)闄z測(cè)手法比較單純，漏報(bào)誤報(bào)一直是IDS產(chǎn)品的弱點(diǎn)，人們甚至因此對(duì)IDS的實(shí)用性產(chǎn)生了懷疑。IDS因?yàn)槭潜粍?dòng)防御，產(chǎn)生誤報(bào)后只要沒有聯(lián)動(dòng)措施，都不會(huì)影響網(wǎng)絡(luò)的正常工作。而IPS技術(shù)是串接在網(wǎng)絡(luò)中的主動(dòng)防御，產(chǎn)生誤報(bào)后將直接影響網(wǎng)絡(luò)的正常工作。這樣安全產(chǎn)品就變成網(wǎng)絡(luò)的故障點(diǎn)了。

舉例來說，機(jī)場(chǎng)在安檢處檢查旅客時(shí)，不能僅憑旅客是否鬼鬼祟祟，冒似恐怖分子就把他抓起來，如果抓錯(cuò)人會(huì)直接影響機(jī)場(chǎng)的正常工作秩序，必須有搜身，驗(yàn)指紋等新的技術(shù)，保證抓獲的是真正的恐怖分子。

第二個(gè)是性能問題。IDS因?yàn)槭桥月饭ぷ?，?duì)實(shí)時(shí)性要求不高，而IPS技術(shù)串接在網(wǎng)絡(luò)上，要求必須像網(wǎng)絡(luò)設(shè)備一樣對(duì)數(shù)據(jù)包做快速轉(zhuǎn)發(fā)。因此，IPS技術(shù)需要在不影響檢測(cè)效率的基礎(chǔ)上做到高性能的轉(zhuǎn)發(fā)。

舉例來說，安檢是要對(duì)每個(gè)旅客檢查的項(xiàng)目多了，但不能因此耽誤飛機(jī)的起飛時(shí)間。這就對(duì)檢查時(shí)間提出了高要求，必須能快速檢查完更多的項(xiàng)目。

功能延伸的障礙

IPS技術(shù)必須大大擴(kuò)展安全功能，在網(wǎng)絡(luò)蠕蟲的預(yù)防、BT下載的限制、垃圾郵件的防范等方面做更多的工作。這些工作對(duì)傳統(tǒng)的IDS技術(shù)來說力不從心，就像以前的機(jī)場(chǎng)安“911”的劫機(jī)犯混過安檢一樣，現(xiàn)在的機(jī)場(chǎng)安檢必須能檢查出來這種恐怖分子。

擴(kuò)大規(guī)則庫(kù)的障礙

隨著網(wǎng)絡(luò)蠕蟲等自動(dòng)攻擊的泛濫，一種漏洞會(huì)被多種病毒所利用。因此在規(guī)則庫(kù)中光檢測(cè)到一種漏洞已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足用戶的需求，用戶需要看到哪種蠕蟲或后門木馬。

這就需要廠商在規(guī)則庫(kù)的更新和維護(hù)上投入更多的資源，不光是跟蹤官方公布的漏洞和最常見的攻擊程序等，還要對(duì)網(wǎng)絡(luò)上流傳的種種病毒、木馬等程序做分析。規(guī)則庫(kù)的條數(shù)要達(dá)到幾萬條以上，更新速度要達(dá)到每天更新，現(xiàn)有的IDS規(guī)則更新體系已經(jīng)滿足不了IPS技術(shù)要求。

【編輯推薦】

1. WAF vs IPS 誰(shuí)更適合防護(hù)Web應(yīng)用？
2. 利用IPS完美構(gòu)建企業(yè)立體Web安全防護(hù)網(wǎng)
3. 解決方案：UTM和IPS兼顧立體安全防護(hù)
4. 從攻擊規(guī)避檢測(cè)技術(shù)看IPS的安全有效性
5. 拯救網(wǎng)站運(yùn)維經(jīng)理趙明活動(dòng)結(jié)束：IPS受寵明顯 WAF仍需努力