隨著網絡入侵事件的不斷增加和黑客攻擊水平的不斷提高，一方面企業(yè)網絡感染病毒、遭受攻擊的速度日益加快，另一方面企業(yè)網絡受到攻擊作出響應的時間卻越來越滯后。解決這一矛盾，傳統(tǒng)的防火墻或入侵檢測技術(IDS)顯得力不從心，這就需要引入一種全新的技術-入侵防護（Intrusion Prevention System，IPS）。
IPS的原理
防火墻是實施訪問控制策略的系統(tǒng)，對流經的網絡流量進行檢查，攔截不符合安全策略的數據包。入侵檢測技術(IDS)通過監(jiān)視網絡或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網絡流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數 IDS 系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實際發(fā)生之前，它們往往無法預先發(fā)出警報。而入侵防護系統(tǒng) (IPS) 則傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS 是通過直接嵌入到網絡流量中實現這一功能的，即通過一個網絡端口接收來自外部系統(tǒng)的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統(tǒng)中。這樣一來，有問題的數據包，以及所有來自同一數據流的后續(xù)數據包，都能在 IPS 設備中被清除掉。
IPS實現實時檢查和阻止入侵的原理在于IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發(fā)現之后，IPS就會創(chuàng)建一個新的過濾器。IPS數據包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2 （介質訪問控制）至Layer 7（應用）的漏洞發(fā)起攻擊，IPS能夠從數據流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進行檢查，不能檢測應用層的內容。防火墻的包過濾技術不會針對每一字節(jié)進行檢查，因而也就無法發(fā)現攻擊活動，而IPS可以做到逐一字節(jié)地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續(xù)前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。
針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則，為了確保準確性，這些規(guī)則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。
過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時執(zhí)行數千次的數據包過濾檢查。并行過濾處理可以確保數據包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。這種硬件加速技術對于IPS具有重要意義，因為傳統(tǒng)的軟件解決方案必須串行進行過濾檢查，會導致系統(tǒng)性能大打折扣。
IPS的種類
基于主機的入侵防護(HIPS)
HIPS通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統(tǒng)以及應用程序。基于主機的入侵防護能夠保護服務器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵服務器核心防護都屬于這類產品，因此它們在防范紅色代碼和Nimda的攻擊中，起到了很好的防護作用。基于主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權的入侵行為，整體提升主機的安全水平。
在技術上，HIPS采用獨特的服務器保護途徑，利用由包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護服務器的敏感內容，既可以以軟件形式嵌入到應用程序對操作系統(tǒng)的調用當中，通過攔截針對操作系統(tǒng)的可疑調用，提供對主機的安全防護；也可以以更改操作系統(tǒng)內核程序的方式，提供比操作系統(tǒng)更加嚴謹的安全控制機制。
由于HIPS工作在受保護的主機/服務器上，它不但能夠利用特征和行為規(guī)則檢測，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/服務器操作系統(tǒng)平臺緊密相關，不同的平臺需要不同的軟件代理程序。