(IDS)检测与防护共同作用保护网络系统

随着系统漏洞不断被发现，企业网络面临的安全威胁越来越复杂了。不过尽管这些攻击可以绕过传统的防火墙，设置在网络周边或内部网络中娜肭址阑は低常↖PS）仍然能够有效阻止这些攻击，为那些未添加补丁或配置不当的服务器提供保护。

虽然入侵检测系统(IDS)可以监视网络传输并发出警报，但并不能拦截攻击。而IPS则能够对所有数据包仔细检查，立即确定是否许可或禁止访问。

IPS具有一些过滤器，能够防止系统上各种类型的弱点受到攻击。当新的弱点被发现之后，IPS就会创建一个新的过滤器，并将其纳入自己的管辖之下，试探攻击这些弱点的任何恶意企图都会立即受到拦截。如果有攻击者利用Layer 2 （介质访问控制）至Layer 7（应用）的弱点进行入侵，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查，而不能检测应用层的内容。

IPS数据包处理引擎是专业化定制的集成电路，可以检查数据包中的每一个字节。相比之下，防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动。IPS设备利用过滤器对数据流中的全部内容进行检查。所有数据包都被分类，每种过滤器负责分析对应的数据包。只有通过检查的数据包才可以继续前进。分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。

每个过滤器都包含一系列规则，只有满足这些规则的数据包才会被确认为不包含恶意攻击内容。为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，引擎必须参照数据包的信息参数，并将其解析至一个有意义的域进行上下文分析。例如，在对付缓冲溢出攻击时，引擎给出一个应用层中的缓冲参数，然后评估其特性用来探测是否存在攻击行为。为了防止攻击到达攻击目标，在某一数据流被确定为恶意攻击时，属于该数据流的所有数据包都将被丢弃。

探测挖掘系统弱点的不同攻击行为，IPS需要不同的过滤器。一些已知的攻击企图可以通过特征或形式匹配过滤器来检测。而对于其他攻击，如缓冲溢出攻击，IPS需要更为复杂的过滤器。这种复杂的过滤器可以使用协议和应用级的解码器设置规则。针对“网络清扫”和“包溢流”等多流攻击，IPS需要过滤器能够收集统计信息以发现异常。

过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义，因为传统的软件解决方案必须逐个进行过滤检查，会导致系统性能大打折扣。