【safe86 专稿】

 入侵防御系统（IPS）作为一种串接在网络当中，对所保护网络提供深层攻击防御的安全产品，已经得到了越来越广泛的应用。和入侵检测系统（IDS）所不同的是，入侵防御的在线接入方式使得它可以在发现攻击行为后，做出主动的响应，比如包丢弃或会话切断。入侵防御系统提供对风险的控制，而不是像入侵检测系统那样，将报警信息和解决对策提供给用户，提供对风险的管理。　　入侵防御系统(Intrusion Prevention System，IPS)是这段时间网络安全业内比较热门的一个词，这种既能及时发现又能实时阻断各种入侵行为的安全产品，自面世那天起，就受到各大安全厂商和用户的广泛关注。

　　有人认为，入侵防御系统(IPS)就是入侵检测系统(Intrusion Detection System，IDS)的升级产品，有了IPS，就可以替代以前的IDS系统，这也正是gartner 在2003年发表那篇著名的“IDS is dead” 的理由。

　　从入侵防御系统的起源来看，这个“升级说”似乎有些道理：Network ICE公司在2000年首次提出了IPS这个概念，并于同年的9月18日推出了BlackICE Guard，这是一个串行部署的IDS，直接分析网络数据并实时对恶意数据进行丢弃处理。

　　但这种概念一直受到质疑，自2002年IPS概念传入国内起，IPS这个新型的产品形态就不断地受到挑战，而且各大安全厂商、客户都没有表现出对IPS的兴趣，普遍的一个观点是：在IDS基础上发展起来的IPS产品，在没能解决IDS固有问题的前提下，是无法得到推广应用的。

　　这个固有问题就是“误报”和“滥报”，IDS的用户常常会有这种苦恼：IDS界面上充斥着大量的报警信息，经过安全专家分析后，被告知这是误警。但在IDS旁路检测的部署形式下，这些误警对正常业务不会造成影响，仅需要花费资源去做人工分析。而串行部署的IPS就完全不一样了，一旦出现了误报或滥报，触发了主动的阻断响应，用户的正常业务就有可能受到影响，这是所有用户都不愿意看到和接受的。正是这个原因，导致了IPS概念在05年之前的国内市场表现平淡。

　　随着时间的推进，自2006年起，大量的国外厂商的IPS产品进入国内市场，各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。

　　IPS到底是什么?

　　“IPS可以阻断攻击，这正是IDS所做不了的，所以IPS是IDS的升级，是IDS的替代品”，可能很多人都会有这种看法。

　　我们先来看IPS的产生原因：

　　A：串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。

　　B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。

　　C： IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果，如SQL注入、溢出攻击等)，使得IDS与防火墙联动在实际应用中的效果不显著。

　　于是就有下面的一种想法，

　　这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。

　　而为什么会有这种需求呢?是由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。

　　入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。

　　入侵防御系统(IPS)对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。

　　这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。

　　IPS应该看重那些方面的功能?

　　有些人认为：“IPS应该具备各种扩展功能，ACL、路由、NAT，一个都不能少”。“IPS最重要的就是性能了，其他的都不重要”。

　　入侵防御系统作为串接部署的设备，确保用户业务不受影响是一个重点，错误的阻断必定意味着影响正常业务，在错误阻断的情况下，各种所谓扩展功能、高性能都是一句空话。这就引出了IPS设备所应该关心的重点——精确阻断，即精确判断各种深层的攻击行为，并实现实时的阻断。

　　精确阻断解决了自IPS概念出现以来用户和厂商的最大困惑：如何确保IPS无误报和滥报，使得串接设备不会形成新的网络故障点?

　　而作为一款防御入侵攻击的设备，毫无疑问，防御各种深层入侵行为是第二个重点，这也是IPS系统区别于其他安全产品的本质特点;这也给精确阻断加上了一个修饰语：保障深层防御情况下的精确阻断，即在确保精确阻断的基础上，尽量多地发现攻击行为(如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件)，这才是IPS发展的主线功能。

　　如何确保对深层入侵行为的准确判断?刚刚推出天清入侵防御系统的专业安全厂商启明星辰有着自己独特的技术和专利。启明星辰的技术专家介绍说，依托多年以来在入侵检测技术方面的深厚积累，启明星辰独创性地建立了柔性化检测机制，在确保精确判定攻击行为的基础上，涵盖了各种攻击手法类型。

　　我们知道常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截;但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。两种检测机制。

　　融合“基于特征的检测机制”和“基于原理的检测机制”形成的 “柔性检测”机制，它最大的特点就是基于原理的检测方法与基于特征的检测方法并存，有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合，而且细分到对攻击检测防御的每一个过程中，在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合，如图3所示。

　　通过运用柔性检测机制，天清入侵防御系统进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力，提高了精确检测的覆盖面。

　　当然，前面提到的扩展功能和高性能，也是入侵防御系统所必需关注的内容，但也要符合产品的主线功能发展趋势。如针对P2P的限制：P2P作为一种新兴的下载手段，得到了极为广泛的运用，但由无限制的P2P应用会影响网络的带宽消耗，并且还随此带来知识产权、病毒等多种相关问题。而实现对P2P的控制和限制，需要在线部署要求更高可靠性

正是由于入侵防御系统的在线式部署方式，对入侵防御设备的用户提出了更高的系统可靠性需求，这使得入侵防御系统厂商不得不将注意力集中在如何提高系统的稳定性和可靠性上。

对入侵防御系统来说，可靠性有两个方面的含义。

第一，要确保设备自身的可靠性，作为online式的设备，自身的宕机、系统崩溃等都将造成网络的不可用。

第二，由于入侵防御系统检测和防御的对象是网络实时数据流，如果对攻击的判断不准确，将正常的业务数据误判作攻击行为，将使得网络资源的不可用。

硬件的架构设计和软件系统的优化都将影响到设备的可靠性，这就要求入侵防御产品的生产厂商在硬件安全产品方面有较为丰富的经验，特别是在那些需要长期稳定运行的硬件安全产品方面。从目前可提供入侵防御产品的厂商名录中来看，基本都能符合这一要求。

而攻击事件判断则是保证入侵防御产品可靠性的一个重要因素。从标准的CIDF模型（图1）中来看（虽然CIDF模型是入侵检测系统的模型，但从对入侵行为的检测过程来看，也同样适用于入侵防御系统的事件检测部分），事件分析单元是判断事件的关键组件，它包括两个方面的关键因素，一个是分析算法，另一个就是事件匹配库。

分析算法一是用以提高分析效率和性能，二就是对一些特殊的攻击行为，需要有专门的算法才能准确和全面的判断，如SQL注入攻击，本身并没有统一的数据特征，没有办法通过事件匹配规则的定义来实现对这类型攻击的全面检测，这就需要用到专门的分析算法。启明星辰公司的天清入侵防御系统利用了专利技术的SQL注入攻击分析算法，可以全面而准确的判断SQL注入攻击。
除了分析算法外，事件匹配库是决定入侵防御系统攻击判断准确性的最关键因素，任何攻击行为都有着一定的行为模式，如何通过定义特征，来准确而全面的涵盖这些行为模式，就是事件匹配库需要关心的内容（这里可能还需要事件分析算法的配合），同样，这也是所有入侵防御系统厂商所最关心的内容：能准确判断和防御的攻击行为的数量和种类决定了入侵防御系统的可持续发展。