浅析IDS与IPS：检测与防护的共生与发展

　　IDS系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括：监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理，并识别违反安全策略的用户活动等。

　　另外，一些业内的主流厂商，如Cisco、Checkpoint、ISS以及华为3Com等，他们一般采用基于模式匹配、异常情况或者完整性分析的判断方法。

　　对于基于模式匹配的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现，此方法非常类似杀毒软件;而基于异常情况的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况;而完整性分析则关注文件或对象是否被篡改，主要根据文件和目录的内容及属性进行判断，这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。

　　从IDS到IPS

　　前面说过了，即便本着用户的呼声，IDS已经流露出了少许“该出手时就出手”的势头，但这毕竟是后话。为了解决IDS旁路侦听模式的弊端，IPS的概念被提了出来----一种采用在线模式的，可以对所有攻击采取适时行动的入侵防御系统。

　　在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下，IPS的出现恰恰带有时势造英雄的味道。

　　无疑，IPS倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS?是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉。

　　当然，这样做也是有条件的，IPS必须能够支持众多的攻击方式与协议，因为只有这样才能从网络中进行准确地判断。记者曾在去年汇总过国内外主流IPS厂商的性能分析报告，基本上符合国内企业用户需求的IPS产品都要支持如：HTTP、DNS、FTP、DOS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用，如MSN、Skype等。

　　另外，国内的企业用户在选购IPS的时候，还必须了解一点：由于IPS采用了在线模式，因此其本身对于网络的性能影响要比IDS大很多。因此用户必须考虑打开IPS后对于自身和网络的影响。比如IPS的性能不能是在“裸奔”或仅打开少量过滤器的前提下取得的，也不能是单纯的测试流量，如单纯的UDP流量或单一的包长度。国内用户应当结合自身情况判断，例如企业部署了VoIP的应用，那就必须去评价它的时延抖动问题，而且要在语音数据流中混杂一般数据模拟实际情况，否则又会是一场灾难。

　　在记者的采访中，一些厂商也建议国内用户也可以分析IPS在负载情况下的各种效能参数(包括文章后面附表中的参数指标)，像对随机端口发送的UDP流量、不考虑处理延时情况下的HTTP最大压力流量、考虑处理延时情况下的HTTP最大压力流量等。

　　对于国内用户担心的另一个问题----由于IPS会对攻击采取行动，因此误报带来的灾难显然要比IDS产品大。记者在采访中得知，随着技术的进一步发展，这两年来主流IPS厂家的产品在精度控制上有了长足的进步。目前避免误报漏报主要参考两方面技术：一种是并行处理检测;另一种是协议重组。

　　前者是指所有流经IPS的数据包，都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个，为了提高效率，FPGA采用并行处理的方式，实现在一个时钟周期内，完成对数据包实现所有过滤器遍历。无疑，这样可以极大地提升IPS的处理速度，但必须实现FPGA的并行化。

　　而后者则将所有流经IPS的数据包，首先经过硬件级别的预处理，这个预处理过程主要完成对数据包的重组，以便IPS能够看清楚具体的应用协议。在此基础上，IPS根据不同应用协议的特征与攻击方式，将重组后的包进行筛选，将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选，可疑数据量大大减少，因此可以大幅度减少IPS处理的工作量，同时降低误报率，当然这个预处理的过程将会是重中之重。

　　但无论采用哪种技术，目的都是为了确保提升准确性，最大程度的保护用户的网络系统。而总结对于IPS与IDS的今后发展，套用时下流行的一句话：最大程度的保持现状，将来不排除统一的可能性。