主题:推动IT产业发展变革十大技术：IPS就是特里

作者： 王琨玥

特里，特里！就是特里，IPS就是特里，任何对手休想越过他的防线。在特里的严防死守下，在IPS的入侵检测下，任何威胁都将不复存在。特里在IPS上灵魂附体。IPS提供深层防护体系的保障，IPS的出现可谓是企业网络安全的革命性创新。

IDS（入侵检测系统）技术存在诸多问题，比如误报率很高，比如检测出威胁却没有办法阻挡，只能发出警告。所以IPS（入侵防御系统）技术出现了，在IDS上加以改进，使得智能警告变成了可以出手化解威胁。简单来说，IPS就是可以主动出击的IDS。

混合威胁不断发展，单一的防护措施已经无能为力，企业需要对网络进行多层、深层的防护来有效保证其网络安全。真正的深层防护体系不仅能够发现恶意代码，而且还能够主动地阻止恶意代码的攻击。在当前混合威胁盛行的时代，只有深层防护才可以确保网络的安全。而IPS则是提供深层防护体系的保障。IPS的出现可谓是企业网络安全的革命性创新。

从技术的同源性上来看，IPS和IDS之间有着千丝万缕的必然联系，IPS可以被视作是增加了主动阻断功能的IDS。但是，IPS绝不仅仅是增加了主动阻断的功能，而是在性能和数据包的分析能力方面都比IDS有了质的提升。

由于增加了主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。

除了检测机制外，IPS的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。

绝大多数IDS系统都是被动的，而不是主动性的。在攻击实际发生之前，IDS往往无法预先发出警报。IPS则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉。

现在谈主动防御的很多，这也是IPS市场启动的根源。但是有专家认为，入侵防护应该是由多种安全设备组成的安全体系共同来实现，而不是由IPS这种设备单独来完成，IPS只是主动防护的一部分，而不是主动防护的全部。主动防护系统还需要加入应用级防火墙与应用级IDS，应用级的IDS产品能够重组信息流，跟踪应用会话过程，并准确描述和识别攻击，而应用级的防火墙能够阻断向应用层发起的攻击，保护Web应用。