IPS（入侵防御系統）提出了多年，一直有個聲音認為IPS會取代IDS（入侵檢測系統），但是幾年過去了，情況并非如此，那么IPS 目前到底處于什么狀態呢？

據調查，目前59%的用戶部署了IDS，27%的用戶將IDS列入購買計劃，62% 用戶在關注 IPS，并且7%的用戶有意向購買 IPS，這些數據表明，IDS和IPS 在國內都呈現出繁榮發展的前景。

這與幾年前一些研究機構預計的“IPS將逐步取代IDS”的看法截然不同。IPS 既沒有得到 “一覽眾山小”的市場局面，IDS 也沒有“節節敗退”，是什么原因使得人們的預測出現了如此大的偏差呢？要想找出其中的原因，不得不從研究歷史出發，看看IDS 和IPS 都是如何發展的。

需求決定IDS 不會消沉

安全防護是一個多層次的保護機制，它既包括企業的安全策略，又包括防火墻、防病毒、入侵檢測等產品技術解決方案。而且，為了保障網絡安全，還必須建立一套完整的安全防護體系，進行多層次、多手段的檢測和防護。IDS正是構建安全防護體系不可缺少的一環。

雖然有很多用戶對IDS 是否具有存在價值表示過質疑，但到目前為止，更多的用戶是在關注如何最大程度地發揮IDS 的作用，來保障網絡的安全。

據市場統計顯示，2005 年 IDS 可以占到安全市場全年總額的11.2%，市場銷售額達到5. 5億元。而2004 年國內IDS產品全年銷售額是3.8億元，占中國網絡安全市場全年市場份額的 10.9%。2003 年IDS的市場銷售額是2.75億元。可以看出，隨著國內用戶的成熟，IDS在網絡安全市場中也是處在一個穩定的發展階段。在這種情況下，誰能說IDS的市場會江山不再呢？

促使IDS 得到廣泛應用的另一個因素是，Slammer、沖擊波等針對系統漏洞的攻擊不斷增多，新的軟件漏洞不斷被發現，一些分析系統缺陷、編寫攻擊程序或制作蠕蟲病毒的簡單工具也在不斷發展之中，從發現缺陷到釋放出蠕蟲病毒的時間間隔也在進一步縮短，用戶需要一種可以檢測攻擊的有效工具，IDS 就是其中的一種。

自身改進打破IDS 滅亡論

雖然前一時間IPS取代IDS 的呼聲日漸高漲，而且Gartner 發表的“IDS將死”言論更是讓這兩種技術的爭斗達到了白熱化，但在國內，IDS還沒有受到 “滅亡論”的太大影響，這主要是因為IDS不斷地進行著改造。目前的IDS 技術是需要有比較大的改進才能滿足客戶的需要，可能需要細分市場做出不同的產品來滿足不同的客戶。

從安全廠商來看，安氏中國、綠盟科技、McAfee、天融信、方正、冠群金辰、聯想、東軟、中科網威、啟明星辰等眾多廠商都有多款百兆和千兆的 IDS 產品。從對這些主流IDS 產品的評測來看，IDS 產品在性能方面也是不斷進步的。比如， 2002 年——2003 年的百兆IDS 產品，在64 字節100%壓力下平均檢測能力僅有40.2%，而2003 年——2004年，部分百兆IDS 產品檢測能力已達到100%，這標志著百兆IDS 產品在性能方面已經成熟。

而千兆IDS 產品的性能也有了長足的發展，捕獲數據包的能力每秒67 萬——85 萬，最高可達140 多萬，對大流量網絡的適應能力明顯增強。還有在功能方面，部分IDS 產品幾年前就具備了網絡流量分析、頁面重組、內容恢復、事件回放等功能，如今不僅功能更為完善多樣，而且功能的模塊化也更有利于用戶根據實際需要進行定制和應用。

近年來，IDS在網絡中的應用逐漸增多起來。在很多對安全等級要求很高的證券、金融以及電信的網絡中，我們都能發現IDS的身影。某證券公司的IT主管談到：“隨著企業網絡結構的不斷擴大和日益復雜，由內部員工違規引起的安全問題變得突出起來，防火墻、防病毒等常規的安全手段只能對付外部入侵，對于內部違規行為卻無能為力。而IDS 可以審計跟蹤內部違反安全策略的行為。另外，IDS 可以記錄、報警各種安全事件，有利于進行安全審計和事后追蹤，對于追溯和阻止拒絕服務攻擊能夠提供有價值的線索。”

IDS 缺陷成就IPS

不過我們同時也看到，也有很多用戶反應IDS 帶來的麻煩大于貢獻。有用戶反映，IDS 的誤報率太高，只要一開機，警報便響個不停，在每天發出的上萬條的報警信息中，真正有價值的信息卻寥寥無幾，而從上萬條信息中挖掘出有用信息費時又費力，通常需要設立專人負責管理IDS，這在缺乏IT人才的企業中是很不現實的。

想要解決誤報和漏報的問題，要綜合運用多種檢測機制，包括特征對比、協議異常分析等技術，同時需要引入數據挖掘技術、神經網絡、專家分析系統等技術以提高信息分析能力。 未來的IDS還需要面向寬帶高速實時的網絡環境，引入數據挖掘、分布式部署、免疫和神經網絡技術，并且適應 IPv6 的技術要求。

很多用戶希望IDS 能夠增加主動阻斷攻擊的能力，在危害出現時能夠直接將其阻斷。用戶的這種希望并不是空穴來風，而是與當前的安全形勢息息相關。

系統漏洞屢屢被攻擊，主動防御和應用安全的壓力從來沒有如此凸顯過。一方面系統的復雜性在不斷提高，幾乎每周都會有系統缺陷被發現；另一方面利用高危缺陷進行入侵和傳播的攻擊技術也在快速發展，用戶需要一種能夠實時阻斷攻擊的安全技術。 從工作原理上來看， IDS技術屬于被動式的反應式技術，這種技術在安全威脅傳播速度較慢時并沒有顯現出太大問題，隨著威脅傳播速度的加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，于是喊著主動防御口號的IPS得到了一定的市場機會。

IPS 靠主動防御搶占市場

混合威脅不斷發展，單一的防護措施已經無能為力，企業需要對網絡進行多層、深層的防護來有效保證其網絡安全。真正的深層防護體系不僅能夠發現惡意代碼，而且還能夠主動地阻止惡意代碼的攻擊。在當前混合威脅盛行的時代，只有深層防護才可以確保網絡的安全。而IPS(入侵防護系統)則是提供深層防護體系的保障。 IPS的出現可謂是企業網絡安全的革命性創新。

從技術的同源性上來看， IPS 和IDS之間有著千絲萬縷的必然聯系，IPS 可以被視作是增加了主動阻斷功能的IDS。例如 McAfee 的IntruShield 以在線方式接入網絡時就是一臺IPS，而以旁路方式接入網絡時就是一臺IDS。但是，IPS 絕不僅僅是增加了主動阻斷的功能，而是在性能和數據包的分析能力方面都比IDS 有了質的提升。

由于增加了主動阻斷能力，檢測準確程度的高低對于IPS來說十分關鍵。IPS廠商綜合使用多種檢測機制來提高IPS的檢測準確性。據Juniper 的工程師介紹，Juniper 在IDP（Juniper 將自己的入侵防護產品命名為IDP) 中使用包括狀態簽名、協議異常、后門檢測、流量異常、網絡蜜罐、哄騙檢測、第二層攻擊檢測、同步泛洪檢測、混合式攻擊檢測在內的“多重檢測技術”，以提高檢測和阻斷的準確程度。Juniper還在不斷增加IDP 能夠解析的協議數量，最近將支持50 種協議增加到60多種，不斷為防止新型攻擊開發新的檢測方法。

除了檢測機制外，IPS 的檢測準確率還依賴于應用環境。一些流量對于某些用戶來說可能是惡意的，而對于另外的用戶來說就是正常流量，這就需要IPS 能夠針對用戶的特定需求提供靈活而容易使用的策略調優手段，以提高檢測準確率。 McAfee、Juniper、ISS同時都在 IPS 中提供了調優機制，使IPS 通過自學習提高檢測的準確性。

引入弱點分析技術是IPS的另一個亮點。IPS廠商通過分析系統漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征，使IPS 能夠主動保護脆弱系統。由于軟件漏洞是不法分子的主要攻擊目標，所以幾乎所有IPS廠商都在加強系統脆弱性的研究。ISS、賽門鐵克分別設立了漏洞分析機構。McAfee 也于日前收購了從事漏洞研究的 Foundstone公司，致力于把漏洞分析技術與入侵防護技術結合起來，使關鍵資源得到主動防護。Juniper設有一個專門的安全小組，密切關注新的系統弱點和蠕蟲，每周都會發布攻擊簽名和基于嚴重等級的緊急簽名更新， Juniper 提供的攻擊簽名是基于弱點和安全漏洞，而不僅僅是黑客已經使用并且造成破壞的安全弱點。

McAfee 公司北亞區技術總監陳聯認為，目前嚴重的安全事件大多數是由緩沖區溢出所導致，所以McAfee 在自己的實驗里加強了對溢出型漏洞的研究和跟蹤，并且把針對溢出型攻擊的相應防范手段推送到IPS 設備的策略庫中。這項緩沖區溢出分析技術使得M c A f e e 的 I P S 設備能夠檢測七層的數據包，實現對應用的主動保護。

賽門鐵克在IPS設備中采用了漏洞阻截技術。通過研究漏洞特征，將其加入到漏洞簽名庫中，IPS 就可以發現符合漏洞特征的所有攻擊流量。沖擊波及其變種都利用了RPC（微軟操作系統的一個漏洞）漏洞。賽門鐵克通過研究并提取RPC 漏洞的特征，組成特征簽名并將其推送給 IPS 設備。在公布漏洞和病毒爆發的一段間隔里，用戶只需將漏洞特征簽名自動下載，就可以在沖擊波及其變種大規模爆發時，直接將其阻斷，從而贏得打補丁的關鍵時間。

主動防御是安全根本

絕大多數IDS 系統都是被動的，而不是主動性的。在攻擊實際發生之前，IDS 往往無法預先發出警報。IPS則傾向于提供主動性的防護，其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS是通過直接嵌入到網絡流量中而實現這一功能的，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的后續數據包，都能夠在IPS設備中被清除掉。

現在談主動防御的很多，這也是IPS 市場啟動的根源。但是有專家認為，入侵防護應該是由多種安全設備組成的安全體系共同來實現，而不是由IPS這種設備單獨來完成，IPS 只是主動防護的一部分，而不是主動防護的全部。主動防護系統還需要加入應用級防火墻與應用級IDS，應用級的IDS 產品能夠重組信息流，跟蹤應用會話過程，并準確描述和識別攻擊，而應用級的防火墻能夠阻斷向應用層發起的攻擊，保護Web 應用。

IDS、 IPS還將并駕齊驅

在主動防御漸入人心之時，擔當網絡警衛的IDS 的報警作用更加重要。盡管IDS 功過參半，但是IDS的報警功能仍是主動防御系統所必需的，也許IDS 的產品形式會消失，但是IDS的檢測功能并不會因形式的消失而消失，只是逐漸被轉化和吸納到其他的安全設備當中。

IDS 與IPS 技術還會并駕齊驅很長一段時間。據市場研究公司Infonetics Research 發布的數據顯示，到2006年，全球IDS/ IPS 市場收入將超過13 億美元。

其實IDS 的發展道路可以借鑒防火墻的發展。防火墻早期從包過濾，應用代理發展起來，是從網絡層應用及應用層解釋開始，一步步關心起具體的協議；包過濾更關注分組的包頭，應用代理關心分組的有效載荷，狀態檢測開始關注分組之間的關系；從安全設備發展的角度，這些并未發展到頭，因為對有效載荷的分析還比較弱。IDS從特征匹配開始到協議分析，走得也是這條路；只是 IDS走到協議分析，也算是比較深入了，但網絡上的應用太復雜了，技術挑戰性太大。依照當前的用法與定位，IDS長期很難生存，但它對分組有效載荷的分析有自己的優勢，這種技術可以用于所有的網絡安全設備。而IPS 其實解決的也是邊界安全問題，其實已開始象是防火墻的升級版了。

國外也已經有報道提到 IDS進入網絡分析，協助網管軟件進行工作，可能是一條比較好的道路（但隨著IPv6 的發展，如果網上全是IPSec 包，不知道監聽這條路怎么走下去）。

廠商們可以通過IDS 產品進入用戶的網絡，并隨著應急服務以及安全培訓逐步介入用戶網絡的運營，從長期而言（只要核心能力建設起來）可以進入安全運營外包市場（針對大客戶）或者安全服務（針對大中客戶）。因此，IDS 其實應該發展成服務而非產品模式，這點又與防火墻有極大不同。

由此來看，IDS和IPS 將會有著不同的發展方向和職責定位。IDS 短期內不會消亡，IPS 也不會完全取代IDS的作用。雖然IPS 市場前景被絕大多數人看好，市場成熟指日可待，但要想靠蠶食IDS 市場來擴大市場份額，對于IPS 來說還是很艱難的，如果真是這樣，恐怕IPS 要嘗嘗青澀蘋果的滋味了。