在過(guò)去的兩年中，入侵檢測(cè)（IDS）技術(shù)一度被炒得熱火朝天，而去年6月，Gartner的一份非常著名的報(bào)告很果斷地宣告了IDS技術(shù)的“死刑”，它宣布入侵防御（IPS）將成為IDS的“掘墓人”。到底IPS有何高明之處，使得它在網(wǎng)絡(luò)安全舞臺(tái)一登場(chǎng)便贏得如此高的實(shí)力指數(shù)？

據(jù)國(guó)外安全廠商N(yùn)etScreen的技術(shù)專家介紹：相對(duì)于IDS的被動(dòng)檢測(cè)及誤報(bào)等問(wèn)題，IPS是一種比較主動(dòng)、機(jī)智的防御系統(tǒng)。從功能上講，作為并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，絕大多數(shù)IDS一般需要與防火墻聯(lián)動(dòng)或發(fā)送TCPreset包來(lái)阻止攻擊。而IPS本身就可以阻止入侵的流量。

從技術(shù)上講，IDS系統(tǒng)在識(shí)別大規(guī)模的組合式、分布式的入侵攻擊方面，還沒有較好的方法和成熟的解決方案，誤報(bào)與漏報(bào)現(xiàn)象嚴(yán)重，用戶往往淹沒在海量的報(bào)警信息中，而漏掉真正的報(bào)警；此外，IDS只能報(bào)警而不能有效采取阻斷措施的設(shè)計(jì)理念，也不能滿足用戶對(duì)網(wǎng)絡(luò)安全日益增長(zhǎng)的需求。相反，IPS系統(tǒng)則沒有這種問(wèn)題，它的攔截行為與其分析行為處在同一層次，能夠更敏銳地捕捉入侵的流量，并能將危害切斷在發(fā)生之前。從IDS到IPS，這是必然的趨勢(shì)。

但I(xiàn)PS能否真正取代IDS，來(lái)自總參的一位技術(shù)專家認(rèn)為，“IDS+防火墻”的聯(lián)動(dòng)防護(hù)機(jī)制與IPS會(huì)在今后相當(dāng)長(zhǎng)的時(shí)間內(nèi)并存，IPS的發(fā)展勢(shì)頭會(huì)更好一些。但I(xiàn)PS并不是防火墻的替代者，至少在當(dāng)前，IPS與防火墻的互補(bǔ)作用還十分明顯，防火墻負(fù)責(zé)提供3-4層的基本安全環(huán)境和高速轉(zhuǎn)發(fā)能力，而IPS負(fù)責(zé)4-7層流量的小粒度控制。事實(shí)上，在電信級(jí)流量背景下，對(duì)于4-7層的流量進(jìn)行分析和過(guò)濾是不現(xiàn)實(shí)的，只有高性能的防火墻系統(tǒng)才能為網(wǎng)絡(luò)提供必要的防護(hù)。因此，IPS更加適用于中等規(guī)模的網(wǎng)絡(luò)，以及作為大型網(wǎng)絡(luò)中的第二層防護(hù)，用以保護(hù)關(guān)鍵的業(yè)務(wù)和應(yīng)用。

另外，專家還指出了IPS技術(shù)的四大特征：只有以嵌入模式運(yùn)行的IPS設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)，實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包；IPS必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類型、策略等來(lái)確定哪些流量應(yīng)該被攔截；高質(zhì)量的入侵特征庫(kù)也是IPS高效運(yùn)行的必要條件；IPS還必須具有高效處理數(shù)據(jù)包的能力。