Gartner在去年8月的一份研究報告中認為，如今的入侵檢測系統(tǒng)（IDS）已經(jīng)難以適應(yīng)客戶的需要。IDS不能提供附加層面的安全，相反增加了企業(yè)安全操作的復雜性。入侵檢測系統(tǒng)朝入侵預防系統(tǒng)（IPS）方向發(fā)展已成必然。實際上，可將IDS與IPS視為兩類功能互斥的分離技術(shù)：IPS注重接入控制，而IDS則進行網(wǎng)絡(luò)監(jiān)控；IPS基于策略實現(xiàn)，IDS則只能進行審核跟蹤；IDS的職責不是保證網(wǎng)絡(luò)安全，而是告知網(wǎng)絡(luò)安全程度幾何。
IPS不僅僅是IDS的演化，它具備一定程度的智能處理功能，能實時阻截攻擊。傳統(tǒng)的IDS只能被動監(jiān)視通信，這是通過跟蹤交換機端口的信息包來實現(xiàn)的；而IPS則能實現(xiàn)在線監(jiān)控，主動阻截和轉(zhuǎn)發(fā)信息包。通過在線配置，IPS能基于策略設(shè)置舍棄信息包或中止連接；傳統(tǒng)的IDS響應(yīng)機制有限，如重設(shè)TCP連接或請求變更防火墻規(guī)則都存在諸多不足。
IPS工作原理
真正的入侵預防與傳統(tǒng)的入侵檢測有兩點關(guān)鍵區(qū)別：自動阻截和在線運行，兩者缺一不可。預防工具（軟/硬件方案）必須設(shè)置相關(guān)策略，以對攻擊自動作出響應(yīng)，而不僅僅是在惡意通信進入時向網(wǎng)絡(luò)主管發(fā)出告警。要實現(xiàn)自動響應(yīng)，系統(tǒng)就必須在線運行。
當黑客試圖與目標服務(wù)器建立會話時，所有數(shù)據(jù)都會經(jīng)過IPS傳感器，傳感器位于活動數(shù)據(jù)路徑中。傳感器檢測數(shù)據(jù)流中的惡意代碼，核對策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前將信息包或數(shù)據(jù)流阻截。由于是在線操作，因而能保證處理方法適當而且可預知。
與此類比，通常的IDS響應(yīng)機制（如TCP重置）則大不相同。傳統(tǒng)的IDS能檢測到信息流中的惡意代碼，但由于是被動處理通信，本身不能對數(shù)據(jù)流作任何處理。必須在數(shù)據(jù)流中嵌入TCP包，以重置目標服務(wù)器中的會話。然而，整個攻擊信息包有可能先于TCP重置信息包到達服務(wù)器，這時系統(tǒng)才做出響應(yīng)已經(jīng)來不及了。重置防火墻規(guī)則也存在相同問題，處于被動工作狀態(tài)的IDS能檢測到惡意代碼，并向防火墻發(fā)出請求阻截會話，但請求有可能到達太遲而無法防止攻擊發(fā)生。
IPS檢測機制
事實上，IDS和IPS中真正有價值的部分是檢測引擎。IPS存在的最大隱患是有可能引發(fā)誤操作，這種“主動性”誤操作會阻塞合法的網(wǎng)絡(luò)事件，造成數(shù)據(jù)丟失，最終影響到商務(wù)操作和客戶信任度。

IDS和IPS對攻擊的響應(yīng)過程
為避免發(fā)生這種情況，一些IDS和IPS開發(fā)商在產(chǎn)品中采用了多檢測方法，最大限度地正確判斷已知和未知攻擊。例如，Symantec的ManHunt IDS最初僅依賴于異常協(xié)議分析，后來升級版本可讓網(wǎng)管寫入Snort代碼（Sourcefire公司開發(fā)的一種基于規(guī)則的開放源碼語言環(huán)境，用于書寫檢測信號）增強異常檢測功能。Cisco最近也對其IDS軟件進行了升級，在信號檢測系統(tǒng)中增加了協(xié)議和通信異常分析功能。NetScreen的硬件工具則包含了8類檢測手段，包括狀態(tài)信號、協(xié)議和通信異常狀況以及后門檢測。
值得一提的是，Snort系統(tǒng)采用的是基于規(guī)則的開放源代碼方案，因而能方便識別惡意攻擊信號。Snort信號系統(tǒng)為IDS運行環(huán)境提供了很大的靈活性，用戶可依據(jù)自身網(wǎng)絡(luò)運行情況書寫IDS規(guī)則集，而不是采用通用檢測方法。一些商業(yè)IDS信號系統(tǒng)還具備二進制代碼檢測功能。
減少主動性誤操作
集成多類檢測方法能增加IDS和IPS檢測攻擊的種類和數(shù)量，但仍無法避免誤操作。主動性誤操作是IPS應(yīng)解決的首要問題，因為對合法通信的阻截會造成很多負面影響。
解決主動性誤操作的有效方法是進行通信關(guān)聯(lián)分析，也就是讓IPS全方位識別網(wǎng)絡(luò)環(huán)境，減少錯誤告警。這里的關(guān)鍵在于要將瑣碎的防火墻日志記錄、IDS數(shù)據(jù)、應(yīng)用日志記錄以及系統(tǒng)弱點評估狀況收集到一起，合理推斷出將發(fā)生哪些情況，并做出合適響應(yīng)。
對網(wǎng)絡(luò)運行環(huán)境的綜合細致評估對發(fā)現(xiàn)致命攻擊和查找潛在漏洞具有實質(zhì)意義。目前，已有IDS開發(fā)商采用該項技術(shù)，它能幫助網(wǎng)絡(luò)主管收集通信關(guān)聯(lián)信息，從而提高IDS效率。Cisco聲稱其開發(fā)的Cisco威脅響應(yīng)（CTR）技術(shù)能消除高達95%的錯誤告警。
CTR由Cisco旗下的Psionic軟件公司開發(fā)。CTR安裝于專用服務(wù)器中，該服務(wù)器位于IDS傳感器與IDS管理控制平臺之間，當傳感器發(fā)出告警時，CTR便掃描目標主機，以確定觸發(fā)告警的攻擊是否會給系統(tǒng)帶來不利影響。CTR能進行快速簡單分析，如搜索開放端口、精確識別操作系統(tǒng)，或查找活動通信。更進一步的是，它還能掃描注冊設(shè)置、事件日志記錄和系統(tǒng)補丁工作狀況，以確定目標主機是否易受攻擊。如果CTR檢測到主機易受攻擊或攻擊發(fā)生，便提升事件告警級別，向控制臺發(fā)出最高優(yōu)先級處理請求。
系統(tǒng)保護更受關(guān)注
如今很多IDS開發(fā)商更多地關(guān)注的是系統(tǒng)保護而不僅僅是檢測功能。ISS認為，系統(tǒng)保護應(yīng)同時包含預防和檢測技術(shù)。ISS的RealSecure IDS基于網(wǎng)絡(luò)和主機實現(xiàn)，能在線阻截各類攻擊。ISS的RealSecure Guard是一類軟件IPS。RealSecure Guard通過異常協(xié)議分析檢測攻擊，并能在攻擊到達目標主機前實時將其阻截。
側(cè)重于防火墻開發(fā)的NetScreen也在朝這一領(lǐng)域發(fā)展。NetScreen旗下OneSecure公司開發(fā)的IPS基于專用ASIC實現(xiàn)。NetScreen-IPD 100具備快速以太接口，最高吞吐率為200Mbps；NetScreen-IPD 500則具備千兆接口，峰值吞吐率達500Mbps。
IDS/IPS選擇應(yīng)用
是采用IDS還是IPS，需要實地考慮應(yīng)用環(huán)境。IPS比較適合于阻止大范圍的、針對性不是很強的攻擊，但對單獨目標的攻擊阻截有可能失效，自動預防系統(tǒng)也無法阻止專門的惡意攻擊者的操作。在金融應(yīng)用系統(tǒng)中，用戶除關(guān)心遭惡意入侵外，更擔心誤操作引發(fā)災難性后果。例如，用戶擔心數(shù)據(jù)庫中的信用卡賬號丟失，最好的辦法是加密存儲。可見這類網(wǎng)絡(luò)系統(tǒng)運用IDS比較適合。
潛在客戶需要對配置IPS存在的風險和優(yōu)勢進行評估，也就是說是重在阻止攻擊還是防范失誤操作。目前來說，IPS還不具備足夠智能識別所有對數(shù)據(jù)庫應(yīng)用的攻擊，一般能做的也就是檢測緩沖區(qū)溢出。另外，IPS與防火墻配置息息相關(guān)。如果沒有安裝防火墻，則沒有必要配置這類在線工具；如果熟知網(wǎng)段中的協(xié)議運用并易于統(tǒng)計分析，則可采用這類技術(shù)。
一些機構(gòu)對網(wǎng)絡(luò)安全級別要求很高，如信用機構(gòu)，這就需要混合的IDS/IPS解決方案，如IntruVert公司開發(fā)的IntruShield就兼具IDS/IPS功能，能自動監(jiān)控通信并在線阻截攻擊。
發(fā)展前景
IDS市場將不斷發(fā)展，產(chǎn)品功能將不僅限于檢測，IDS朝具備防護功能方向發(fā)展已是大勢所趨。一項客戶調(diào)查表明，IDS具備阻截攻擊功能排在其功能需求的首位。Infonetics預計，IDS市場在未來幾年中將呈爆炸性增長，到2006年創(chuàng)造的收益將達16億美元。
IPS產(chǎn)品已經(jīng)涌現(xiàn)，其發(fā)展前景取決于攻擊阻截功能的完善。由于有著廣泛的應(yīng)用根基，傳統(tǒng)的IDS并不會就此消失。一種情況是，客戶不需要通信阻截功能，而只監(jiān)視通信狀況；有些需要為預防系統(tǒng)增加智能處理功能，而有的客戶則習慣于人工處理。
Gartner將IPS視為下一代IDS，而且認為很有可能成為下一代防火墻。