眾所周知，IPS技術(shù)相對(duì)于IDS技術(shù)來(lái)說(shuō)是一個(gè)完善與提高，但是作為一個(gè)相對(duì)領(lǐng)先的技術(shù)，其中又有旁路變串接的障礙、功能延伸的障礙和擴(kuò)大規(guī)則庫(kù)的障礙這三塊絆腳石，那么究竟如何才能克服IPS技術(shù)發(fā)展中的諸多障礙呢？

總體來(lái)說(shuō)，IPS技術(shù)一般采用ASIC、FPGA或NP（網(wǎng)絡(luò)處理器）等硬件設(shè)計(jì)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲，檢測(cè)引擎綜合特征檢測(cè)、異常檢測(cè)、DoS檢測(cè)、緩沖區(qū)溢出檢測(cè)等多種手段，并使用硬件加速技術(shù)進(jìn)行深層數(shù)據(jù)包分析處理，能高效、準(zhǔn)確地檢測(cè)和防御已知、未知的攻擊及DoS攻擊。

同時(shí)，實(shí)施多種響應(yīng)方式，如丟棄數(shù)據(jù)包、終止會(huì)話、修改防火墻策略、實(shí)時(shí)生成警報(bào)和日志記錄等，突破了傳統(tǒng)IDS只能檢測(cè)不能防御入侵的局限性，提供了一個(gè)完整的入侵防護(hù)解決方案。

具體來(lái)說(shuō)，IPS技術(shù)用應(yīng)用層代理引擎技術(shù)解決漏報(bào)誤報(bào)率問(wèn)題，用引擎硬件化技術(shù)解決性能問(wèn)題。

應(yīng)用層代理引擎降低誤報(bào)漏報(bào)率

和IDS相比，IPS技術(shù)應(yīng)具有高性能、低漏報(bào)誤報(bào)率、防范種類多等特點(diǎn)。要取得這些技術(shù)突破，現(xiàn)有IDS的技術(shù)積累顯然是不夠的。反病毒引擎在準(zhǔn)確報(bào)警方面是IDS引擎學(xué)習(xí)的目標(biāo)。

從產(chǎn)業(yè)發(fā)展的角度看，反病毒技術(shù)比IDS技術(shù)成熟，在反病毒引擎技術(shù)中已經(jīng)運(yùn)用多項(xiàng)的技術(shù)，例如虛擬機(jī)技術(shù)等。這些技術(shù)的使用，保證了反病毒產(chǎn)品的低漏報(bào)誤報(bào)率。實(shí)際上，反病毒產(chǎn)品檢測(cè)的準(zhǔn)確性已經(jīng)可量化，而IDS技術(shù)的準(zhǔn)確性還沒(méi)有一個(gè)公認(rèn)的衡量標(biāo)準(zhǔn)。

反病毒產(chǎn)品對(duì)規(guī)則庫(kù)的跟蹤和維護(hù)有著更高的要求，反病毒產(chǎn)品的規(guī)則庫(kù)在十萬(wàn)條左右，數(shù)量上超過(guò)IDS幾十倍，并且對(duì)規(guī)則庫(kù)更新的要求更高。IDS對(duì)規(guī)則庫(kù)的更新周期以周為單位，反病毒產(chǎn)品對(duì)規(guī)則庫(kù)的更新周期以天為單位。

引擎硬件化提升性能

如果沒(méi)有性能問(wèn)題的瓶頸，IPS技術(shù)不會(huì)姍姍來(lái)遲。在傳統(tǒng)防火墻領(lǐng)域，廠商們其實(shí)也做了不少工作，把IDS、應(yīng)用層安全技術(shù)等都集成進(jìn)去了，但是只能作為功能宣傳，不敢大張旗鼓推廣，到用戶那往往要把這些功能關(guān)閉。這都是讓性能鬧的。

現(xiàn)在IPS技術(shù)的廠商，還是那些功能，只是解決了性能問(wèn)題，敢給用戶用這些功能了，就把產(chǎn)品作為IPS技術(shù)開(kāi)賣。別小看這一點(diǎn)改進(jìn)，可是核心競(jìng)爭(zhēng)力，解決性能問(wèn)題的各個(gè)廠商方法不同，思路都一樣，就是把最消耗資源的部分用硬件實(shí)現(xiàn)，把最具有靈活性的部分用軟件實(shí)現(xiàn)，達(dá)到提高性能的目的。

部署很簡(jiǎn)單

串接式部署是IPS技術(shù)和IDS區(qū)別的主要特征。IPS技術(shù)的部署方式和IDS有所不同。

IDS產(chǎn)品在網(wǎng)絡(luò)中是旁路式工作，IPS技術(shù)在網(wǎng)絡(luò)中是串接式工作。串接式工作保證所有網(wǎng)絡(luò)數(shù)據(jù)都經(jīng)過(guò)IPS設(shè)備，IPS技術(shù)檢測(cè)數(shù)據(jù)流中的惡意代碼，核對(duì)策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前，將信息包或數(shù)據(jù)流阻截。由于是在線操作，因而能保證處理方法適當(dāng)而且可預(yù)知。

與此相比，通常的IDS響應(yīng)機(jī)制（如TCP重置）則大不相同。傳統(tǒng)的IDS能檢測(cè)到信息流中的惡意代碼，但由于是被動(dòng)處理通信，本身不能對(duì)數(shù)據(jù)流作任何處理。必須在數(shù)據(jù)流中嵌入TCP包，以重置目標(biāo)服務(wù)器中的會(huì)話。然而，整個(gè)攻擊信息包有可能先于TCP重置信息包到達(dá)服務(wù)器，這時(shí)系統(tǒng)才做出響應(yīng)已經(jīng)來(lái)不及了。

重置防火墻規(guī)則也存在相同問(wèn)題，處于被動(dòng)工作狀態(tài)的IDS能檢測(cè)到惡意代碼，并向防火墻發(fā)出請(qǐng)求阻截會(huì)話，但請(qǐng)求有可能到達(dá)太遲而無(wú)法防止攻擊發(fā)生。

IPS技術(shù)是網(wǎng)關(guān)型設(shè)備，要發(fā)揮其最大的作用，最好串接在網(wǎng)絡(luò)的出口處，比較簡(jiǎn)單的部署方案是串接在網(wǎng)關(guān)出口的防火墻和路由器之間，監(jiān)控和保護(hù)網(wǎng)絡(luò)。當(dāng)然，在用戶購(gòu)買產(chǎn)品時(shí)，專業(yè)的安全工程師會(huì)根據(jù)用戶的網(wǎng)絡(luò)拓?fù)浜托枨笞鲈敿?xì)設(shè)計(jì)的。
 

【編輯推薦】

1. IPS電力行業(yè)網(wǎng)絡(luò)邊界的典型應(yīng)用
2. 聯(lián)想網(wǎng)御4500IPS地稅系統(tǒng)應(yīng)用案例
3. Radware發(fā)新版IPS 可化解高密度的DDoS攻擊
4. Cisco IPS平臺(tái)存在拒絕服務(wù)漏洞
5. 專家談：利用并行處理技術(shù)提升IPS產(chǎn)品性能