IPS（入侵防御系統(tǒng)）提出了多年，一直有個(gè)聲音認(rèn)為IPS會(huì)取代IDS（入侵檢測(cè)系統(tǒng)），但是幾年過(guò)去了，情況并非如此，那么IPS 目前到底處于什么狀態(tài)呢？

據(jù)調(diào)查，目前59%的用戶部署了IDS，27%的用戶將IDS列入購(gòu)買(mǎi)計(jì)劃，62% 用戶在關(guān)注 IPS，并且7%的用戶有意向購(gòu)買(mǎi) IPS，這些數(shù)據(jù)表明，IDS和IPS 在國(guó)內(nèi)都呈現(xiàn)出繁榮發(fā)展的前景。

這與幾年前一些研究機(jī)構(gòu)預(yù)計(jì)的“IPS將逐步取代IDS”的看法截然不同。IPS 既沒(méi)有得到 “一覽眾山小”的市場(chǎng)局面，IDS 也沒(méi)有“節(jié)節(jié)敗退”，是什么原因使得人們的預(yù)測(cè)出現(xiàn)了如此大的偏差呢？要想找出其中的原因，不得不從研究歷史出發(fā)，看看IDS 和IPS 都是如何發(fā)展的。

需求決定IDS 不會(huì)消沉

安全防護(hù)是一個(gè)多層次的保護(hù)機(jī)制，它既包括企業(yè)的安全策略，又包括防火墻、防病毒、入侵檢測(cè)等產(chǎn)品技術(shù)解決方案。而且，為了保障網(wǎng)絡(luò)安全，還必須建立一套完整的安全防護(hù)體系，進(jìn)行多層次、多手段的檢測(cè)和防護(hù)。IDS正是構(gòu)建安全防護(hù)體系不可缺少的一環(huán)。

雖然有很多用戶對(duì)IDS 是否具有存在價(jià)值表示過(guò)質(zhì)疑，但到目前為止，更多的用戶是在關(guān)注如何最大程度地發(fā)揮IDS 的作用，來(lái)保障網(wǎng)絡(luò)的安全。

據(jù)市場(chǎng)統(tǒng)計(jì)顯示，2005 年 IDS 可以占到安全市場(chǎng)全年總額的11.2%，市場(chǎng)銷售額達(dá)到5. 5億元。而2004 年國(guó)內(nèi)IDS產(chǎn)品全年銷售額是3.8億元，占中國(guó)網(wǎng)絡(luò)安全市場(chǎng)全年市場(chǎng)份額的 10.9%。2003 年IDS的市場(chǎng)銷售額是2.75億元?？梢钥闯?，隨著國(guó)內(nèi)用戶的成熟，IDS在網(wǎng)絡(luò)安全市場(chǎng)中也是處在一個(gè)穩(wěn)定的發(fā)展階段。在這種情況下，誰(shuí)能說(shuō)IDS的市場(chǎng)會(huì)江山不再呢？

促使IDS 得到廣泛應(yīng)用的另一個(gè)因素是，Slammer、沖擊波等針對(duì)系統(tǒng)漏洞的攻擊不斷增多，新的軟件漏洞不斷被發(fā)現(xiàn)，一些分析系統(tǒng)缺陷、編寫(xiě)攻擊程序或制作蠕蟲(chóng)病毒的簡(jiǎn)單工具也在不斷發(fā)展之中，從發(fā)現(xiàn)缺陷到釋放出蠕蟲(chóng)病毒的時(shí)間間隔也在進(jìn)一步縮短，用戶需要一種可以檢測(cè)攻擊的有效工具，IDS 就是其中的一種。

自身改進(jìn)打破IDS 滅亡論

雖然前一時(shí)間IPS取代IDS 的呼聲日漸高漲，而且Gartner 發(fā)表的“IDS將死”言論更是讓這兩種技術(shù)的爭(zhēng)斗達(dá)到了白熱化，但在國(guó)內(nèi)，IDS還沒(méi)有受到 “滅亡論”的太大影響，這主要是因?yàn)镮DS不斷地進(jìn)行著改造。目前的IDS 技術(shù)是需要有比較大的改進(jìn)才能滿足客戶的需要，可能需要細(xì)分市場(chǎng)做出不同的產(chǎn)品來(lái)滿足不同的客戶。

從安全廠商來(lái)看，安氏中國(guó)、綠盟科技、McAfee、天融信、方正、冠群金辰、聯(lián)想、東軟、中科網(wǎng)威、啟明星辰等眾多廠商都有多款百兆和千兆的 IDS 產(chǎn)品。從對(duì)這些主流IDS 產(chǎn)品的評(píng)測(cè)來(lái)看，IDS 產(chǎn)品在性能方面也是不斷進(jìn)步的。比如， 2002 年——2003 年的百兆IDS 產(chǎn)品，在64 字節(jié)100%壓力下平均檢測(cè)能力僅有40.2%，而2003 年——2004年，部分百兆IDS 產(chǎn)品檢測(cè)能力已達(dá)到100%，這標(biāo)志著百兆IDS 產(chǎn)品在性能方面已經(jīng)成熟。

而千兆IDS 產(chǎn)品的性能也有了長(zhǎng)足的發(fā)展，捕獲數(shù)據(jù)包的能力每秒67 萬(wàn)——85 萬(wàn)，最高可達(dá)140 多萬(wàn)，對(duì)大流量網(wǎng)絡(luò)的適應(yīng)能力明顯增強(qiáng)。還有在功能方面，部分IDS 產(chǎn)品幾年前就具備了網(wǎng)絡(luò)流量分析、頁(yè)面重組、內(nèi)容恢復(fù)、事件回放等功能，如今不僅功能更為完善多樣，而且功能的模塊化也更有利于用戶根據(jù)實(shí)際需要進(jìn)行定制和應(yīng)用。

近年來(lái)，IDS在網(wǎng)絡(luò)中的應(yīng)用逐漸增多起來(lái)。在很多對(duì)安全等級(jí)要求很高的證券、金融以及電信的網(wǎng)絡(luò)中，我們都能發(fā)現(xiàn)IDS的身影。某證券公司的IT主管談到：“隨著企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的不斷擴(kuò)大和日益復(fù)雜，由內(nèi)部員工違規(guī)引起的安全問(wèn)題變得突出起來(lái)，防火墻、防病毒等常規(guī)的安全手段只能對(duì)付外部入侵，對(duì)于內(nèi)部違規(guī)行為卻無(wú)能為力。而IDS 可以審計(jì)跟蹤內(nèi)部違反安全策略的行為。另外，IDS 可以記錄、報(bào)警各種安全事件，有利于進(jìn)行安全審計(jì)和事后追蹤，對(duì)于追溯和阻止拒絕服務(wù)攻擊能夠提供有價(jià)值的線索。”

IDS 缺陷成就IPS

不過(guò)我們同時(shí)也看到，也有很多用戶反應(yīng)IDS 帶來(lái)的麻煩大于貢獻(xiàn)。有用戶反映，IDS 的誤報(bào)率太高，只要一開(kāi)機(jī)，警報(bào)便響個(gè)不停，在每天發(fā)出的上萬(wàn)條的報(bào)警信息中，真正有價(jià)值的信息卻寥寥無(wú)幾，而從上萬(wàn)條信息中挖掘出有用信息費(fèi)時(shí)又費(fèi)力，通常需要設(shè)立專人負(fù)責(zé)管理IDS，這在缺乏IT人才的企業(yè)中是很不現(xiàn)實(shí)的。

想要解決誤報(bào)和漏報(bào)的問(wèn)題，要綜合運(yùn)用多種檢測(cè)機(jī)制，包括特征對(duì)比、協(xié)議異常分析等技術(shù)，同時(shí)需要引入數(shù)據(jù)挖掘技術(shù)、神經(jīng)網(wǎng)絡(luò)、專家分析系統(tǒng)等技術(shù)以提高信息分析能力。 未來(lái)的IDS還需要面向?qū)拵Ц咚賹?shí)時(shí)的網(wǎng)絡(luò)環(huán)境，引入數(shù)據(jù)挖掘、分布式部署、免疫和神經(jīng)網(wǎng)絡(luò)技術(shù)，并且適應(yīng) IPv6 的技術(shù)要求。

很多用戶希望IDS 能夠增加主動(dòng)阻斷攻擊的能力，在危害出現(xiàn)時(shí)能夠直接將其阻斷。用戶的這種希望并不是空穴來(lái)風(fēng)，而是與當(dāng)前的安全形勢(shì)息息相關(guān)。

系統(tǒng)漏洞屢屢被攻擊，主動(dòng)防御和應(yīng)用安全的壓力從來(lái)沒(méi)有如此凸顯過(guò)。一方面系統(tǒng)的復(fù)雜性在不斷提高，幾乎每周都會(huì)有系統(tǒng)缺陷被發(fā)現(xiàn)；另一方面利用高危缺陷進(jìn)行入侵和傳播的攻擊技術(shù)也在快速發(fā)展，用戶需要一種能夠?qū)崟r(shí)阻斷攻擊的安全技術(shù)。 從工作原理上來(lái)看， IDS技術(shù)屬于被動(dòng)式的反應(yīng)式技術(shù)，這種技術(shù)在安全威脅傳播速度較慢時(shí)并沒(méi)有顯現(xiàn)出太大問(wèn)題，隨著威脅傳播速度的加快，留給人們響應(yīng)的時(shí)間越來(lái)越短，使用戶來(lái)不及對(duì)入侵做出響應(yīng)，于是喊著主動(dòng)防御口號(hào)的IPS得到了一定的市場(chǎng)機(jī)會(huì)。

IPS 靠主動(dòng)防御搶占市場(chǎng)

混合威脅不斷發(fā)展，單一的防護(hù)措施已經(jīng)無(wú)能為力，企業(yè)需要對(duì)網(wǎng)絡(luò)進(jìn)行多層、深層的防護(hù)來(lái)有效保證其網(wǎng)絡(luò)安全。真正的深層防護(hù)體系不僅能夠發(fā)現(xiàn)惡意代碼，而且還能夠主動(dòng)地阻止惡意代碼的攻擊。在當(dāng)前混合威脅盛行的時(shí)代，只有深層防護(hù)才可以確保網(wǎng)絡(luò)的安全。而IPS(入侵防護(hù)系統(tǒng))則是提供深層防護(hù)體系的保障。 IPS的出現(xiàn)可謂是企業(yè)網(wǎng)絡(luò)安全的革命性創(chuàng)新。

從技術(shù)的同源性上來(lái)看， IPS 和IDS之間有著千絲萬(wàn)縷的必然聯(lián)系，IPS 可以被視作是增加了主動(dòng)阻斷功能的IDS。例如 McAfee 的IntruShield 以在線方式接入網(wǎng)絡(luò)時(shí)就是一臺(tái)IPS，而以旁路方式接入網(wǎng)絡(luò)時(shí)就是一臺(tái)IDS。但是，IPS 絕不僅僅是增加了主動(dòng)阻斷的功能，而是在性能和數(shù)據(jù)包的分析能力方面都比IDS 有了質(zhì)的提升。

由于增加了主動(dòng)阻斷能力，檢測(cè)準(zhǔn)確程度的高低對(duì)于IPS來(lái)說(shuō)十分關(guān)鍵。IPS廠商綜合使用多種檢測(cè)機(jī)制來(lái)提高IPS的檢測(cè)準(zhǔn)確性。據(jù)Juniper 的工程師介紹，Juniper 在IDP（Juniper 將自己的入侵防護(hù)產(chǎn)品命名為IDP) 中使用包括狀態(tài)簽名、協(xié)議異常、后門(mén)檢測(cè)、流量異常、網(wǎng)絡(luò)蜜罐、哄騙檢測(cè)、第二層攻擊檢測(cè)、同步泛洪檢測(cè)、混合式攻擊檢測(cè)在內(nèi)的“多重檢測(cè)技術(shù)”，以提高檢測(cè)和阻斷的準(zhǔn)確程度。Juniper還在不斷增加IDP 能夠解析的協(xié)議數(shù)量，最近將支持50 種協(xié)議增加到60多種，不斷為防止新型攻擊開(kāi)發(fā)新的檢測(cè)方法。

除了檢測(cè)機(jī)制外，IPS 的檢測(cè)準(zhǔn)確率還依賴于應(yīng)用環(huán)境。一些流量對(duì)于某些用戶來(lái)說(shuō)可能是惡意的，而對(duì)于另外的用戶來(lái)說(shuō)就是正常流量，這就需要IPS 能夠針對(duì)用戶的特定需求提供靈活而容易使用的策略調(diào)優(yōu)手段，以提高檢測(cè)準(zhǔn)確率。 McAfee、Juniper、ISS同時(shí)都在 IPS 中提供了調(diào)優(yōu)機(jī)制，使IPS 通過(guò)自學(xué)習(xí)提高檢測(cè)的準(zhǔn)確性。

引入弱點(diǎn)分析技術(shù)是IPS的另一個(gè)亮點(diǎn)。IPS廠商通過(guò)分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲(chóng)代碼、描述攻擊特征或缺陷特征，使IPS 能夠主動(dòng)保護(hù)脆弱系統(tǒng)。由于軟件漏洞是不法分子的主要攻擊目標(biāo)，所以幾乎所有IPS廠商都在加強(qiáng)系統(tǒng)脆弱性的研究。ISS、賽門(mén)鐵克分別設(shè)立了漏洞分析機(jī)構(gòu)。McAfee 也于日前收購(gòu)了從事漏洞研究的 Foundstone公司，致力于把漏洞分析技術(shù)與入侵防護(hù)技術(shù)結(jié)合起來(lái)，使關(guān)鍵資源得到主動(dòng)防護(hù)。Juniper設(shè)有一個(gè)專門(mén)的安全小組，密切關(guān)注新的系統(tǒng)弱點(diǎn)和蠕蟲(chóng)，每周都會(huì)發(fā)布攻擊簽名和基于嚴(yán)重等級(jí)的緊急簽名更新， Juniper 提供的攻擊簽名是基于弱點(diǎn)和安全漏洞，而不僅僅是黑客已經(jīng)使用并且造成破壞的安全弱點(diǎn)。

McAfee 公司北亞區(qū)技術(shù)總監(jiān)陳聯(lián)認(rèn)為，目前嚴(yán)重的安全事件大多數(shù)是由緩沖區(qū)溢出所導(dǎo)致，所以McAfee 在自己的實(shí)驗(yàn)里加強(qiáng)了對(duì)溢出型漏洞的研究和跟蹤，并且把針對(duì)溢出型攻擊的相應(yīng)防范手段推送到IPS 設(shè)備的策略庫(kù)中。這項(xiàng)緩沖區(qū)溢出分析技術(shù)使得M c A f e e 的 I P S 設(shè)備能夠檢測(cè)七層的數(shù)據(jù)包，實(shí)現(xiàn)對(duì)應(yīng)用的主動(dòng)保護(hù)。

賽門(mén)鐵克在IPS設(shè)備中采用了漏洞阻截技術(shù)。通過(guò)研究漏洞特征，將其加入到漏洞簽名庫(kù)中，IPS 就可以發(fā)現(xiàn)符合漏洞特征的所有攻擊流量。沖擊波及其變種都利用了RPC（微軟操作系統(tǒng)的一個(gè)漏洞）漏洞。賽門(mén)鐵克通過(guò)研究并提取RPC 漏洞的特征，組成特征簽名并將其推送給 IPS 設(shè)備。在公布漏洞和病毒爆發(fā)的一段間隔里，用戶只需將漏洞特征簽名自動(dòng)下載，就可以在沖擊波及其變種大規(guī)模爆發(fā)時(shí)，直接將其阻斷，從而贏得打補(bǔ)丁的關(guān)鍵時(shí)間。

主動(dòng)防御是安全根本

絕大多數(shù)IDS 系統(tǒng)都是被動(dòng)的，而不是主動(dòng)性的。在攻擊實(shí)際發(fā)生之前，IDS 往往無(wú)法預(yù)先發(fā)出警報(bào)。IPS則傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái)，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在IPS設(shè)備中被清除掉。

現(xiàn)在談主動(dòng)防御的很多，這也是IPS 市場(chǎng)啟動(dòng)的根源。但是有專家認(rèn)為，入侵防護(hù)應(yīng)該是由多種安全設(shè)備組成的安全體系共同來(lái)實(shí)現(xiàn)，而不是由IPS這種設(shè)備單獨(dú)來(lái)完成，IPS 只是主動(dòng)防護(hù)的一部分，而不是主動(dòng)防護(hù)的全部。主動(dòng)防護(hù)系統(tǒng)還需要加入應(yīng)用級(jí)防火墻與應(yīng)用級(jí)IDS，應(yīng)用級(jí)的IDS 產(chǎn)品能夠重組信息流，跟蹤應(yīng)用會(huì)話過(guò)程，并準(zhǔn)確描述和識(shí)別攻擊，而應(yīng)用級(jí)的防火墻能夠阻斷向應(yīng)用層發(fā)起的攻擊，保護(hù)Web 應(yīng)用。

IDS、 IPS還將并駕齊驅(qū)

在主動(dòng)防御漸入人心之時(shí)，擔(dān)當(dāng)網(wǎng)絡(luò)警衛(wèi)的IDS 的報(bào)警作用更加重要。盡管IDS 功過(guò)參半，但是IDS的報(bào)警功能仍是主動(dòng)防御系統(tǒng)所必需的，也許IDS 的產(chǎn)品形式會(huì)消失，但是IDS的檢測(cè)功能并不會(huì)因形式的消失而消失，只是逐漸被轉(zhuǎn)化和吸納到其他的安全設(shè)備當(dāng)中。

IDS 與IPS 技術(shù)還會(huì)并駕齊驅(qū)很長(zhǎng)一段時(shí)間。據(jù)市場(chǎng)研究公司Infonetics Research 發(fā)布的數(shù)據(jù)顯示，到2006年，全球IDS/ IPS 市場(chǎng)收入將超過(guò)13 億美元。

其實(shí)IDS 的發(fā)展道路可以借鑒防火墻的發(fā)展。防火墻早期從包過(guò)濾，應(yīng)用代理發(fā)展起來(lái)，是從網(wǎng)絡(luò)層應(yīng)用及應(yīng)用層解釋開(kāi)始，一步步關(guān)心起具體的協(xié)議；包過(guò)濾更關(guān)注分組的包頭，應(yīng)用代理關(guān)心分組的有效載荷，狀態(tài)檢測(cè)開(kāi)始關(guān)注分組之間的關(guān)系；從安全設(shè)備發(fā)展的角度，這些并未發(fā)展到頭，因?yàn)閷?duì)有效載荷的分析還比較弱。IDS從特征匹配開(kāi)始到協(xié)議分析，走得也是這條路；只是 IDS走到協(xié)議分析，也算是比較深入了，但網(wǎng)絡(luò)上的應(yīng)用太復(fù)雜了，技術(shù)挑戰(zhàn)性太大。依照當(dāng)前的用法與定位，IDS長(zhǎng)期很難生存，但它對(duì)分組有效載荷的分析有自己的優(yōu)勢(shì)，這種技術(shù)可以用于所有的網(wǎng)絡(luò)安全設(shè)備。而IPS 其實(shí)解決的也是邊界安全問(wèn)題，其實(shí)已開(kāi)始象是防火墻的升級(jí)版了。

國(guó)外也已經(jīng)有報(bào)道提到 IDS進(jìn)入網(wǎng)絡(luò)分析，協(xié)助網(wǎng)管軟件進(jìn)行工作，可能是一條比較好的道路（但隨著IPv6 的發(fā)展，如果網(wǎng)上全是IPSec 包，不知道監(jiān)聽(tīng)這條路怎么走下去）。

廠商們可以通過(guò)IDS 產(chǎn)品進(jìn)入用戶的網(wǎng)絡(luò)，并隨著應(yīng)急服務(wù)以及安全培訓(xùn)逐步介入用戶網(wǎng)絡(luò)的運(yùn)營(yíng)，從長(zhǎng)期而言（只要核心能力建設(shè)起來(lái)）可以進(jìn)入安全運(yùn)營(yíng)外包市場(chǎng)（針對(duì)大客戶）或者安全服務(wù)（針對(duì)大中客戶）。因此，IDS 其實(shí)應(yīng)該發(fā)展成服務(wù)而非產(chǎn)品模式，這點(diǎn)又與防火墻有極大不同。

由此來(lái)看，IDS和IPS 將會(huì)有著不同的發(fā)展方向和職責(zé)定位。IDS 短期內(nèi)不會(huì)消亡，IPS 也不會(huì)完全取代IDS的作用。雖然IPS 市場(chǎng)前景被絕大多數(shù)人看好，市場(chǎng)成熟指日可待，但要想靠蠶食IDS 市場(chǎng)來(lái)擴(kuò)大市場(chǎng)份額，對(duì)于IPS 來(lái)說(shuō)還是很艱難的，如果真是這樣，恐怕IPS 要嘗嘗青澀蘋(píng)果的滋味了。