防止入侵 现代IPS系统该出手时就出手

　　在网络黑客攻击频频发生、病毒变种惊人、网络威胁日益严重的环境下，安全防护问题备受关注。安全防护系统是一个多层次的保护机制，没有任何一种设备或者方法可以完全解决所有的网络安全问题。正确的解决方案就是进行深度防御，也就是通过增加保护层面各种各样的网络安全解决方案，如防火墙、网络入侵检测/保护系统以及防病毒软件等等，基于网络安全架构的各种领域，在一定程度上增强网络安全，实现一定深度的防御。

　　对于黑客的入侵和攻击，入侵检测系统是有效的方式，并且能在解决网络安全难题中起到重要角色，它在公司网络安全领域中有“最后一道防线”之称。当有人设法绕过所有设定的安全措施进入禁区时，入侵系统会提供警告。一直以来，IDS入侵检测系统充当了安全防护系统的重要角色。IDS技术是通过从网络上得到数据包进行分析，从而检测和识别出系统中的未授权或异常现象。IDS注重的是网络监控、审核跟踪，告知网络是否安全，发现异常行为时，本身不能进行处理，而是通过与防火墙等安全设备联动的方式进行防护。

　　但是在当前的实际网络环境下，传统的IDS存在几个明显缺陷： 一是事后报警。IDS是在威胁出现后报警，当看到报警信息时，入侵已经发生甚至结束了，只是在备份中可以查找到病毒或侵犯的根源。对于检测出的威胁也无法进行处理。这是典型的被动防御。二是当网络环境变得复杂时，IDS检测能力会表现得 “弱智”一些。IDS监测不到复杂的数据包或被精心处理的发包，于是这些数据包顺利地进入用户内部网络。三是误动（即错误的告警，即没有任何攻击的情况下产生的告警）量大，影响网络检测人员的工作效率。此外，无法实现现今网络访问的高吞吐量和高可靠性需求；对于分布式企业网络环境的管理非常困难并且价格昂贵等都显示出IDS的不足。

　　实际的安全防护过程中对入侵检测的需求很大，加之IDS的缺陷，于是孕育了IPS(入侵防护系统)在这两年的快速发展。IPS技术能够对网络进行多层、深层、真正的防护，不仅能够发现恶意代码，而且还能够主动阻止恶意代码的攻击，以有效保证用户的网络安全。记者日前走访国家信息化专家咨询委员会常务委员、中国航天科技集团第701研究所总工曲成义教授时，他对当前中国网络安全的发展趋势给出多种预测。中国用户网络安全防护需求的变化由“被动式防御”转向“主动式防御”，而且这个变化在2007年会更加明显。具体体现在入侵检测方面时，IDS将被IPS取代。IPS符合了网络安全“主动式防御”的需求，成为当前安全市场的一大热点。IPS的出现可谓是企业网络安全的革命性创新。

　　现实中，我们的网络系统尽管采取了很多措施，但对于一些安全事件有时却无法阻止。最为理想而关键的就是要及时精准监测，主动防护，在攻击产生损坏之前阻止一切的发生。现代的IPS，在检测并识别到攻击时，应该通过使用预先定义的自动反应阻止攻击。自动反应的有效性主要依赖于检测精度。