隨著網絡蠕蟲等自動攻擊的泛濫,一種漏洞會被多種病毒所利用。因此在規則庫中光檢測到一種漏洞已經遠遠不能滿足用戶的需求，用戶需要看到哪種蠕蟲或后門木馬。
這就需要廠商在規則庫的更新和維護上投入更多的資源，不光是跟蹤官方公布的漏洞和最常見的攻擊程序等，還要對網絡上流傳的種種病毒、木馬等程序做分析。規則庫的條數要達到幾萬條以上，更新速度要達到每天更新，現有的IDS規則更新體系已經滿足不了IPS要求。
威脅觸目驚心
根據公安部一份信息網絡安全狀況調查顯示，在被調查的7072家政府、金融證券、教育科研、電信、廣電、能源交通、國防和商貿企業等信息網絡中，發生網絡安全事件的比例為58％。
其中，計算機病毒、蠕蟲和木馬程序造成的安全事件占發生安全事件單位總數的79％，拒絕服務、端口掃描和篡改網頁等網絡攻擊事件占43％，大規模垃圾郵件傳播造成的安全事件占36％。特別地，計算機病毒的感染率為87.9％，比上一年增加了2％。
上述調查對象都是國內信息安全投入比較高的大行業，防火墻、入侵檢測、防病毒等常見安全產品基本都已部署，但仍然遭受了觸目驚心的安全危害。
就像“911”之后的美國，人們突然發現，以前大家對安全問題的看法已經不適合新形勢的需要了，原本人們認為固若金湯的美國本土，被新的攻擊手段炸得千瘡百孔。目前的互聯網和網絡安全部署大家原本很樂觀，但上面列舉的這些觸目驚心的危害清楚地表明，在層出不窮的攻擊手段面前，我們的網絡安全保護措施已經落后了。
現有技術不夠用！
事實上，“911”美國遭受恐怖主義襲擊后，在防護手段方面的變化，也映射出網絡安全產品發展的脈絡。
在“911”前，機場在安全方面不是一點手段沒有。在登機前要驗證旅客的身份證件，并通過金屬探測門，防止旅客帶管制刀具上機。這種檢查手段和防火墻在網絡上所起的作用相似。
通常，人們認為防火墻可以保護處于它身后的網絡不受外界的侵襲和干擾。但隨著網絡技術的發展，網絡結構日趨復雜，傳統防火墻在使用的過程中暴露出以下的不足和弱點：
入侵者可以偽造數據繞過防火墻或者找到防火墻中可能敞開的后門，就像恐怖分子可以偽造身份證件上飛機一樣；
防火墻不能防止來自網絡內部的襲擊，通過調查發現，將近65%的攻擊都來自網絡內部，對于那些對企業心懷不滿或假意臥底的員工來說，防火墻形同虛設，就像恐怖分子可以收買機場人員一樣；
傳統防火墻不具備對應用層協議的檢查過濾功能，無法對Web攻擊、FTP攻擊等做出響應，防火墻對于病毒蠕蟲的侵襲也是束手無策，就像金屬探測器檢測不出來非金屬的攻擊武器，易燃易爆品一樣。
正因如此，在網絡世界里，人們開始了對入侵檢測技術的研究及開發。入侵檢測技術很像在機場安裝了多臺攝像頭，實時觀察旅客的行為，以發現安全問題。IDS可以彌補防火墻的不足，為網絡提供實時的監控，并且在發現入侵的初期采取相應的防護手段。
但是，人們也逐漸意識到IDS所面臨的問題。
較高的漏報率和誤報率。這已經是世界性難題，就像機場的監控錄像不能監控到每個角落，不能從人的行為舉止完全準確地判斷出其是否為恐怖分子一樣。
IDS是以被動的方式工作，只能檢測攻擊，而不能做到真正實時地阻止攻擊。機場的監控錄像最有價值的地方其實是在恐怖事件發生后，警察通過備份的監控錄像查找可疑分子，為破案提供線索。
IPS填補了空白
在后“911”時代，人們發現機場的安檢措施變了，對登機的旅客除了檢查身份證件外，還要檢查指紋，仔細搜身，連鞋子都要脫了檢查；甚至連飲料瓶都要旅客喝一口，以確保那不是汽油。這新增加的檢查手段讓恐怖分子蒙混過關的幾率大為減少。
安檢措施的改進，對應于網絡安全防范，就是加強現有的防火墻和IDS等保護功能，同時對經過的數據包進行更為嚴格的檢查措施。于是誕生了IPS技術，我們稱之為入侵防御系統。
IPS是在應用層的內容檢測基礎上加上主動響應和過濾功能，彌補了傳統的主流網絡安全技術不能完成更多內容檢查的不足，填補了網絡安全產品線的基于內容的安全檢查的空白。IPS工作原理如圖1所示。
IPS設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。
IPS是通過直接嵌入到網絡流量中實現這一功能的，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的后續數據包，都能在IPS設備中被清除掉。
IPS實現實時檢查和阻止入侵的原理在于IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之后，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定制的集成電路，可以深層檢查數據包的內容。
如果有攻擊者利用Layer2（介質訪問控制）至Layer7（應用）的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊并加以阻止。傳統的防火墻只能對Layer3或Layer4進行檢查，不能檢測應用層的內容。
防火墻的包過濾技術不會針對每一字節進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一字節地檢查數據包。
所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數據包。
通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。
針對不同的攻擊行為，IPS需要不同的過濾器。
每種過濾器都設有相應的過濾規則，為了確保準確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。
過濾器引擎集合了流水和大規模并行處理硬件，能夠同時執行數千次的數據包過濾檢查。并行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。
IPS和防火墻相比，除了能檢查身份證件，IPS還能檢查旅客的指紋，能搜身，這樣抓獲恐怖分子的機會就會大大增加。
IPS和IDS相比，除了能記錄下來部分旅客在機場時的活動情況，以預備真出了事后為警察提供線索，還能在機場識別出恐怖分子，不讓其上機，讓恐怖活動不能得逞。
足下有絆石
IPS的出現可謂是企業網絡安全的革命性創新。然而創新意味著對困難的克服，IPS技術必須克服三大障礙。
旁路變串接的障礙
改進IDS旁路工作方式，使得IPS不僅能旁路工作，還能串接在網絡中工作，對攻擊的防御由被動防御變成主動防御。
串接在網絡上后，IPS技術的一些痼疾就展現出來了。
第一個是漏報誤報率問題。IDS因為檢測手法比較單純，漏報誤報一直是IDS產品的弱點，人們甚至因此對IDS的實用性產生了懷疑。IDS因為是被動防御，產生誤報后只要沒有聯動措施，都不會影響網絡的正常工作。而IPS是串接在網絡中的主動防御，產生誤報后將直接影響網絡的正常工作。這樣安全產品就變成網絡的故障點了。
舉例來說，機場在安檢處檢查旅客時，不能僅憑旅客是否鬼鬼祟祟，冒似恐怖分子就把他抓起來，如果抓錯人會直接影響機場的正常工作秩序，必須有搜身，驗指紋等新的技術，保證抓獲的是真正的恐怖分子。
第二個是性能問題。IDS因為是旁路工作，對實時性要求不高，而IPS串接在網絡上，要求必須像網絡設備一樣對數據包做快速轉發。因此，IPS需要在不影響檢測效率的基礎上做到高性能的轉發。
舉例來說，安檢是要對每個旅客檢查的項目多了，但不能因此耽誤飛機的起飛時間。這就對檢查時間提出了高要求，必須能快速檢查完更多的項目。
功能延伸的障礙
IPS技術必須大大擴展安全功能，在網絡蠕蟲的預防、BT下載的限制、垃圾郵件的防范等方面做更多的工作。這些工作對傳統的IDS技術來說力不從心，就像以前的機場安檢讓“911”的劫機犯混過安檢一樣，現在的機場安檢必須能檢查出來這種恐怖分子。
擴大規則庫的障礙
隨著網絡蠕蟲等自動攻擊的泛濫，一種漏洞會被多種病毒所利用。因此在規則庫中光檢測到一種漏洞已經遠遠不能滿足用戶的需求，用戶需要看到哪種蠕蟲或后門木馬。
這就需要廠商在規則庫的更新和維護上投入更多的資源，不光是跟蹤官方公布的漏洞和最常見的攻擊程序等，還要對網絡上流傳的種種病毒、木馬等程序做分析。規則庫的條數要達到幾萬條以上，更新速度要達到每天更新，現有的IDS規則更新體系已經滿足不了IPS要求。

圖1 IPS工作原理

圖2 IPS系統結構圖
“兵來將擋”
前面提到的這些障礙，IPS技術如何克服呢？
總體來說，IPS一般采用ASIC、FPGA或NP（網絡處理器）等硬件設計技術實現網絡數據流的捕獲，檢測引擎綜合特征檢測、異常檢測、DoS檢測、緩沖區溢出檢測等多種手段，并使用硬件加速技術進行深層數據包分析處理，能高效、準確地檢測和防御已知、未知的攻擊及DoS攻擊。
同時，實施多種響應方式，如丟棄數據包、終止會話、修改防火墻策略、實時生成警報和日志記錄等，突破了傳統IDS只能檢測不能防御入侵的局限性，提供了一個完整的入侵防護解決方案。
具體來說，IPS用應用層代理引擎技術解決漏報誤報率問題，用引擎硬件化技術解決性能問題。
應用層代理引擎降低誤報漏報率
和IDS相比，IPS應具有高性能、低漏報誤報率、防范種類多等特點。要取得這些技術突破，現有IDS的技術積累顯然是不夠的。反病毒引擎在準確報警方面是IDS引擎學習的目標。
從產業發展的角度看，反病毒技術比IDS技術成熟，在反病毒引擎技術中已經運用多項的技術，例如虛擬機技術等。這些技術的使用，保證了反病毒產品的低漏報誤報率。實際上，反病毒產品檢測的準確性已經可量化，而IDS技術的準確性還沒有一個公認的衡量標準。
反病毒產品對規則庫的跟蹤和維護有著更高的要求，反病毒產品的規則庫在十萬條左右，數量上超過IDS幾十倍，并且對規則庫更新的要求更高。IDS對規則庫的更新周期以周為單位，反病毒產品對規則庫的更新周期以天為單位。
引擎硬件化提升性能
如果沒有性能問題的瓶頸，IPS技術不會姍姍來遲。在傳統防火墻領域，廠商們其實也做了不少工作，把IDS、應用層安全技術等都集成進去了，但是只能作為功能宣傳，不敢大張旗鼓推廣，到用戶那往往要把這些功能關閉。這都是讓性能鬧的。
現在的IPS廠商，還是那些功埽?皇墻餼雋誦閱芪侍猓?腋?沒в謎廡┕δ芰耍?桶巡?紛魑狪PS開賣。別小看這一點改進，可是核心競爭力，解決性能問題的各個廠商方法不同，思路都一樣，就是把最消耗資源的部分用硬件實現，把最具有靈活性的部分用軟件實現，達到提高性能的目的。
部署很簡單
串接式部署是IPS和IDS區別的主要特征。IPS產品的部署方式和IDS有所不同。
IDS產品在網絡中是旁路式工作，IPS產品在網絡中是串接式工作。串接式工作保證所有網絡數據都經過IPS設備，IPS檢測數據流中的惡意代碼，核對策略，在未轉發到服務器之前，將信息包或數據流阻截。由于是在線操作，因而能保證處理方法適當而且可預知。
與此相比，通常的IDS響應機制（如TCP重置）則大不相同。傳統的IDS能檢測到信息流中的惡意代碼，但由于是被動處理通信，本身不能對數據流作任何處理。必須在數據流中嵌入TCP包，以重置目標服務器中的會話。然而，整個攻擊信息包有可能先于TCP重置信息包到達服務器，這時系統才做出響應已經來不及了。
重置防火墻規則也存在相同問題，處于被動工作狀態的IDS能檢測到惡意代碼，并向防火墻發出請求阻截會話，但請求有可能到達太遲而無法防止攻擊發生。
IPS是網關型設備，要發揮其最大的作用，最好串接在網絡的出口處，比較簡單的部署方案是串接在網關出口的防火墻和路由器之間，監控和保護網絡。當然，在用戶購買產品時，專業的安全工程師會根據用戶的網絡拓撲和需求做詳細設計的。
用戶之聲 
受訪者：北京電力順義供電公司信息中心主任 周維利
主動防御，是不是神話？
我對IPS技術和產品有些了解，認為它是一個不錯的技術，能夠在遇到病毒入侵和黑客攻擊之前，幫助我們消除掉即將引發的破壞。但是，這種技術太神奇，讓人感覺不太可信。
舉個例子。以我的理解，IPS是可以防范一個還沒出現過的新病毒，就好比滅火器可以預先滅掉沒著起的火一樣，這是否有些離奇？
還有，我認為IPS不可能一發現攻擊，就馬上調動防火墻攔截。從發現攻擊到攔截攻擊之間肯定有時間差，在這時間差中，極有可能給后來的攻擊可乘之機。這樣看來，具有主動防御能力的IPS不又形成了新的安全漏洞嗎？
總的來說，IPS對用戶保護企業安全很有幫助，如果能夠規避一些弊端，像我這樣的用戶還是非常愿意使用它的。
我們公司的網絡采取的安全防御措施很基礎，就三樣：防毒、防火墻和打補丁，一年來，我們沒有遇到過什么安全威脅。我個人認為，與IPS相比，被動防御更可靠。 
受訪者：國電自動化研究院信息所 余勇博士
用IPS？再等一等
你問我IPS？好像國內用戶用得不多，至少我沒見身邊的同仁們誰在用。那東西推出來時間不長呀。以我對它的了解，它在技術上存在一些問題，比如沒有逃脫防火墻、IDS的弊端，仍有不低的誤報漏報率。
以前用過IDS，那是好幾年前的事兒。后來，我們就不用了。主要是因為它的誤報漏報率太高，當然，我們自己應用得也不好。IDS是個高技術含量的產品，配置規則非常復雜，對我們用戶的技術要求比較高，要用好它，有一定難度。
我們也比較擔心IPS的使用難度，還擔心它的處理性能。它是串連在關口的，如果優化不夠，會對我們的業務造成負面影響。
與IDS相比，IPS的主動防御功能的確很好。個人覺得，IPS是個好產品，將來一定有很好的應用前途。現在，我們還不想用，再等等。待技術成熟后，我們會考慮使用IPS的。
切忌“僅”靠IPS
受訪者：中國信息安全產品測評認證中心系統工程實驗室副主任 彭勇
IPS的產生與用戶的應用需求有很大關系。過去，使用IDS，可以達到檢測非法入侵的目的，但是，入侵真的發生了，IDS卻無力阻斷它。于是IPS出現了，它彌補了IDS的不足，可以對入侵進行及時地攔截，有效消除攻擊所帶來的危害。
IPS攔截攻擊的功能，對于無法加固的脆弱系統，起到舉足輕重的保護作用。比如，在用戶生產系統和大型數據庫系統中，可能存在一些漏洞。由于補丁程序與系統沖突，容易引起系統癱瘓，所以用戶不會輕易給系統打補丁。可是，不打補丁，系統勢必處于安全威脅中。此時，運用IPS，可以阻擋可能的攻擊，進而減少安全風險。
技術瓶頸難以逾越
IPS好是好，目前，卻遇到了尚未逾越的技術瓶頸。
首先是安全性。它沿習了IDS技術優勢之時，也繼承了它的某些致命缺陷。IDS誤報漏報率一直存在，至今仍未克服。IPS繼承了這一弱勢。比IDS更糟的是，IDS誤報最多給用戶帶來頻繁報警的騷擾，IPS誤報將會把正常的訪問請求阻擋，修改系統合理應用，破壞用戶業務。
其次是應用效果。IPS技術與防病毒技術有相似之處。有效防范病毒，必須時時更新病毒特征庫，這樣才能識別和扼殺不斷涌現的新病毒。IPS也一樣，它同樣要具備快速更新攻擊特征庫的能力。但IPS面臨的問題比防病毒技術更為繁雜，需要歸納、分析的安全事件的種類和形態太多，特征不易收集（同時還要基于應用層進行防護），更新難度非常之大。
最后是性能消耗。傳統的IDS是旁路監聽網絡，不會影響網絡應用。現在的IPS是串聯在網絡中的，而且基于應用層檢測。這意味著所有與系統應用相關的訪問，都要經過IPS過濾。盡管誕生了有如NP（NetWork Processor，網絡處理器）、ASIC（Applications Specific Integrated Circuit，供專門應用的集成電路）等高性能處理芯片，可以幫助改善處理性能，然而，聯動的應用太多，還是會消耗部分性能，降低運行速度。
應用障礙不可抗拒
如果說IDS讓用戶還有所認知，IPS則讓用戶知之甚少，也就談不上對IPS的重視了。
許多用過IDS的用戶都沒有認識到，使用IDS的最大價值是分析網絡狀況。我國的網管人員對安全知識和技術的掌握有限，對安全設備管理的能力不強，加之繁瑣的網絡管理工作，沒有精力顧及安全的深度防御問題。
我接觸過不少用戶，發現很少有用戶認真分析過防火墻日志，又很少有人通過這些分析制定出有效的反擊策略。IDS獨有的分析功能幾乎沒有被網管人員充分利用和挖掘，而白白葬送掉IDS的使用價值。在這些企業網中，IDS形同虛設。與IDS類似的IPS的應用遭遇，大家可想而知了。
一些應用水平高、安全意識強的用戶自信有能力用好IPS，但他們懷疑IPS的性能問題，并擔心IPS會影響關鍵業務。
可見，IPS的應用，無論是對于高級用戶還是初級用戶來說，都是任重而道遠。
跳出產品考慮全局
IPS是一個產品，安全保護是整體工程，里面涉及方方面面的深度防御工作。絕對不是一兩個安全產品就可以解決的。
近來，市場上關于UTM（Unified Threat Management）的呼聲越來越高。UTM是什么，它是統一威脅管理，它把防毒、防火墻、IPS等多種安全功能集成在一起，并基于硬件芯片處理技術，提供了一種統一的安全管理手段。其最大的優勢是能夠統一處理安全事件。
我個人認為，UTM還是一個產品，只要是產品，它就逃脫不掉單純的防御模式。企業網絡所面臨的安全威脅，從管理的角度看，必須充分考慮企業的需求，整體考慮安全防范問題。即使涉及IPS單項功能，也要結合整體安全策略，制定IPS的防范規則，預測它所面臨的風險，設計發揮它的優勢及與響應其他安全功能的措施。
因此，我建議用戶從以下幾個方面看待和使用IPS等安全產品及應用。
冷靜看待產品。把網管人員遇到的現有的產品管理好，可以大大減少網絡及產品的安全風險。問題是，有的用戶連現有的產品都沒管好，服務器系統經常忘記升級補丁程序，防火墻日志不看也不分析，這樣，選擇再多的安全設備，對安全防范也會無濟于事。
整體考慮安全。建議用戶從整個信息生命周期管理的視角去建設和管理安全系統。把重點放在統一監控、統一管理、統一時間響應等方面。一旦出現安全問題，采取什么措施，如何響應，都應該在事前有一個統籌的考慮。把安全防范貫徹到整個業務運行當中。
從需求出發。認真分析自身的需求，到底是不是急需使用IPS，采用IPS前要想清楚，是否牽扯網絡結構的調整、網絡系統的重新部署；之后，還要搞明白，怎樣用好IPS，做到及時更新特征庫，分析IPS反映的一些數據，防患于未然。一句話，要將檢測、響應、審計統一在一起綜合考慮。(