在網(wǎng)絡(luò)黑客攻擊頻頻發(fā)生、病毒變種驚人、網(wǎng)絡(luò)威脅日益嚴(yán)重的環(huán)境下，安全防護(hù)問題備受關(guān)注。安全防護(hù)系統(tǒng)是一個(gè)多層次的保護(hù)機(jī)制，沒有任何一種設(shè)備或者方法可以完全解決所有的網(wǎng)絡(luò)安全問題。正確的解決方案就是進(jìn)行深度防御，也就是通過增加保護(hù)層面各種各樣的網(wǎng)絡(luò)安全解決方案，如防火墻、網(wǎng)絡(luò)入侵檢測(cè)/保護(hù)系統(tǒng)以及防病毒軟件等等，基于網(wǎng)絡(luò)安全架構(gòu)的各種領(lǐng)域，在一定程度上增強(qiáng)網(wǎng)絡(luò)安全，實(shí)現(xiàn)一定深度的防御。

對(duì)于黑客的入侵和攻擊，入侵檢測(cè)系統(tǒng)是有效的方式，并且能在解決網(wǎng)絡(luò)安全難題中起到重要角色，它在公司網(wǎng)絡(luò)安全領(lǐng)域中有“最后一道防線”之稱。當(dāng)有人設(shè)法繞過所有設(shè)定的安全措施進(jìn)入禁區(qū)時(shí)，入侵系統(tǒng)會(huì)提供警告。一直以來，IDS入侵檢測(cè)系統(tǒng)充當(dāng)了安全防護(hù)系統(tǒng)的重要角色。IDS技術(shù)是通過從網(wǎng)絡(luò)上得到數(shù)據(jù)包進(jìn)行分析，從而檢測(cè)和識(shí)別出系統(tǒng)中的未授權(quán)或異常現(xiàn)象。IDS注重的是網(wǎng)絡(luò)監(jiān)控、審核跟蹤，告知網(wǎng)絡(luò)是否安全，發(fā)現(xiàn)異常行為時(shí)，本身不能進(jìn)行處理，而是通過與防火墻等安全設(shè)備聯(lián)動(dòng)的方式進(jìn)行防護(hù)。

但是在當(dāng)前的實(shí)際網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的IDS存在幾個(gè)明顯缺陷： 一是事后報(bào)警。IDS是在威脅出現(xiàn)后報(bào)警，當(dāng)看到報(bào)警信息時(shí)，入侵已經(jīng)發(fā)生甚至結(jié)束了，只是在備份中可以查找到病毒或侵犯的根源。對(duì)于檢測(cè)出的威脅也無法進(jìn)行處理。這是典型的被動(dòng)防御。二是當(dāng)網(wǎng)絡(luò)環(huán)境變得復(fù)雜時(shí)，IDS檢測(cè)能力會(huì)表現(xiàn)得 “弱智”一些。IDS監(jiān)測(cè)不到復(fù)雜的數(shù)據(jù)包或被精心處理的發(fā)包，于是這些數(shù)據(jù)包順利地進(jìn)入用戶內(nèi)部網(wǎng)絡(luò)。三是誤動(dòng)（即錯(cuò)誤的告警，即沒有任何攻擊的情況下產(chǎn)生的告警）量大，影響網(wǎng)絡(luò)檢測(cè)人員的工作效率。此外，無法實(shí)現(xiàn)現(xiàn)今網(wǎng)絡(luò)訪問的高吞吐量和高可靠性需求；對(duì)于分布式企業(yè)網(wǎng)絡(luò)環(huán)境的管理非常困難并且價(jià)格昂貴等都顯示出IDS的不足。

實(shí)際的安全防護(hù)過程中對(duì)入侵檢測(cè)的需求很大，加之IDS的缺陷，于是孕育了IPS(入侵防護(hù)系統(tǒng))在這兩年的快速發(fā)展。IPS技術(shù)能夠?qū)W(wǎng)絡(luò)進(jìn)行多層、深層、真正的防護(hù)，不僅能夠發(fā)現(xiàn)惡意代碼，而且還能夠主動(dòng)阻止惡意代碼的攻擊，以有效保證用戶的網(wǎng)絡(luò)安全。記者日前走訪國(guó)家信息化專家咨詢委員會(huì)常務(wù)委員、中國(guó)航天科技集團(tuán)第701研究所總工曲成義教授時(shí)，他對(duì)當(dāng)前中國(guó)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)給出多種預(yù)測(cè)。中國(guó)用戶網(wǎng)絡(luò)安全防護(hù)需求的變化由“被動(dòng)式防御”轉(zhuǎn)向“主動(dòng)式防御”，而且這個(gè)變化在2007年會(huì)更加明顯。具體體現(xiàn)在入侵檢測(cè)方面時(shí)，IDS將被IPS取代。IPS符合了網(wǎng)絡(luò)安全“主動(dòng)式防御”的需求，成為當(dāng)前安全市場(chǎng)的一大熱點(diǎn)。IPS的出現(xiàn)可謂是企業(yè)網(wǎng)絡(luò)安全的革命性創(chuàng)新。

現(xiàn)實(shí)中，我們的網(wǎng)絡(luò)系統(tǒng)盡管采取了很多措施，但對(duì)于一些安全事件有時(shí)卻無法阻止。最為理想而關(guān)鍵的就是要及時(shí)精準(zhǔn)監(jiān)測(cè)，主動(dòng)防護(hù)，在攻擊產(chǎn)生損壞之前阻止一切的發(fā)生。現(xiàn)代的IPS，在檢測(cè)并識(shí)別到攻擊時(shí)，應(yīng)該通過使用預(yù)先定義的自動(dòng)反應(yīng)阻止攻擊。自動(dòng)反應(yīng)的有效性主要依賴于檢測(cè)精度。

用最高的精度，盡快獲知任何意外的、異常的、或者一些簡(jiǎn)單的攻擊事件的監(jiān)測(cè)，是傳統(tǒng)的入侵檢測(cè)系統(tǒng)一直炫耀但最終總是失敗的地方。如前說述，IDS系統(tǒng)的主要問題就是他們能產(chǎn)生大量的告警（某個(gè)IDS用戶曾經(jīng)說過他們的系統(tǒng)每個(gè)月會(huì)產(chǎn)生180萬個(gè)告警），而要處理這個(gè)巨量的告警本身就成為一個(gè)問題，更不必說真實(shí)的告警會(huì)被淹沒在巨量的告警中。于是產(chǎn)生很多“誤動(dòng)”或“拒動(dòng)”（即當(dāng)攻擊產(chǎn)生時(shí)沒有相應(yīng)的告警）。典型的誤動(dòng)是因?yàn)檫^分倚賴于單一的檢測(cè)方法，無法提供任何方式的事件關(guān)聯(lián)而導(dǎo)致。為了解決這個(gè)問題，現(xiàn)代的IPS（如：StoneGate IPS）組合了許多強(qiáng)大的檢測(cè)方法，有系統(tǒng)管理員定義的規(guī)則，有事件智能關(guān)聯(lián)分析。此外，還改進(jìn)了一些檢測(cè)方法，譬如上下文敏感，基于指紋的正則表達(dá)，以及可配置的協(xié)議檢視模塊。這樣，對(duì)于真實(shí)的攻擊威脅可以很容易的采取相關(guān)動(dòng)作，幾乎沒有任何手工勞動(dòng)會(huì)浪費(fèi)在分析那些錯(cuò)誤的告警上。StoneGate IPS 分析器將檢測(cè)提高到了一個(gè)全新的水平。

入侵檢測(cè)系統(tǒng)在追求主動(dòng)防御的效果時(shí)，也必須緊跟不斷增長(zhǎng)的帶寬發(fā)展需求，確保速度和高可靠性。盡管企業(yè)網(wǎng)的Internet連接還遠(yuǎn)遠(yuǎn)低于千兆級(jí)別，但內(nèi)部網(wǎng)的數(shù)據(jù)流容量也還是很高的。在某個(gè)典型的地點(diǎn)，譬如某個(gè)Switch的端口聚集的數(shù)據(jù)流可能就會(huì)到達(dá)千兆，那些無法處理這種數(shù)據(jù)流容量的系統(tǒng)就會(huì)開始丟包，從而導(dǎo)致產(chǎn)生拒動(dòng)；換句話說，一些攻擊可能就沒有被檢測(cè)出來。另外，系統(tǒng)也可能因?yàn)殄e(cuò)誤的發(fā)現(xiàn)了很多協(xié)議沖突而產(chǎn)生過度的誤動(dòng)。現(xiàn)代的IPS（如：StoneGate IPS）采用了針對(duì)千兆比特環(huán)境的、嵌入式的傳感器集群以及負(fù)載均衡技術(shù)，每個(gè)單一的傳感器不必處理所有的數(shù)據(jù)流。傳感器擁有的集成的操作系統(tǒng)，使其內(nèi)部架構(gòu)具有很高的性能。在絕大多數(shù)苛刻和復(fù)雜的網(wǎng)絡(luò)環(huán)境下，StoneGate IPS都表現(xiàn)出高的系統(tǒng)吞吐量以及高可靠性。

妨礙很多IPS部署的另外一個(gè)問題就是缺少可用性。而現(xiàn)代化的StoneGate IPS入侵檢測(cè)和反應(yīng)系統(tǒng)所具有的智能分析，在成功實(shí)現(xiàn)了傳統(tǒng)入侵檢測(cè)系統(tǒng)所不能完成的精度要求、主動(dòng)響應(yīng)要求、速度和高可靠性要求的挑戰(zhàn)之外，還很好地解決了高可用性。在一個(gè)單個(gè)的管理系統(tǒng)中完成對(duì)防火墻，IPS，VPN的集中管理，顯著地節(jié)省了運(yùn)行、維護(hù)以及培訓(xùn)的成本. 消除了潛在的各種不同系統(tǒng)之間的兼容性問題。Stonesoft 的靈活部署方式可以使得用戶對(duì)于部署的擴(kuò)展性提供很好的保障。IPS的組件可以分布式部署，傳感器和分析器也可以分別部署以及組合部署，在高可用要求很高的環(huán)境中還可以部署集群模式和混合模式。對(duì)于這種管理中心(SMC),傳感器(Sensor)以及分析器(Analyzer)的分布式部署，是IPS一種最優(yōu)的方式也是未來發(fā)展的方向，這就使得用戶減少TCO，提高效率。Stonesoft是這個(gè)領(lǐng)域的專家，也是積極的推動(dòng)者。

StoneGate IPS對(duì)這些挑戰(zhàn)問題的解決，使得主動(dòng)防御成為可能并且高效。StoneGate IPS已成為現(xiàn)代網(wǎng)絡(luò)用戶安全需要的貼心衛(wèi)士。