IPS苹果熟了吗

　　不过我们同时也看到，也有很多用户反应IDS 带来的麻烦大于贡献。有用户反映，IDS 的误报率太高，只要一开机，警报便响个不停，在每天发出的上万条的报警信息中，真正有价值的信息却寥寥无几，而从上万条信息中挖掘出有用信息费时又费力，通常需要设立专人负责管理IDS，这在缺乏IT人才的企业中是很不现实的。

　　想要解决误报和漏报的问题，要综合运用多种检测机制，包括特征对比、协议异常分析等技术，同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。 未来的IDS还需要面向宽带高速实时的网络环境，引入数据挖掘、分布式部署、免疫和神经网络技术，并且适应 IPv6 的技术要求。

　　很多用户希望IDS 能够增加主动阻断攻击的能力，在危害出现时能够直接将其阻断。用户的这种希望并不是空穴来风，而是与当前的安全形势息息相关。

　　系统漏洞屡屡被攻击，主动防御和应用安全的压力从来没有如此凸显过。一方面系统的复杂性在不断提高，几乎每周都会有系统缺陷被发现；另一方面利用高危缺陷进行入侵和传播的攻击技术也在快速发展，用户需要一种能够实时阻断攻击的安全技术。 从工作原理上来看， IDS技术属于被动式的反应式技术，这种技术在安全威胁传播速度较慢时并没有显现出太大问题，随着威胁传播速度的加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，于是喊着主动防御口号的IPS得到了一定的市场机会。

　　IPS 靠主动防御抢占市场

　　混合威胁不断发展，单一的防护措施已经无能为力，企业需要对网络进行多层、深层的防护来有效保证其网络安全。真正的深层防护体系不仅能够发现恶意代码，而且还能够主动地阻止恶意代码的攻击。在当前混合威胁盛行的时代，只有深层防护才可以确保网络的安全。而IPS(入侵防护系统)则是提供深层防护体系的保障。 IPS的出现可谓是企业网络安全的革命性创新。

　　从技术的同源性上来看， IPS 和IDS之间有着千丝万缕的必然联系，IPS 可以被视作是增加了主动阻断功能的IDS。例如 McAfee 的IntruShield 以在线方式接入网络时就是一台IPS，而以旁路方式接入网络时就是一台IDS。但是，IPS 绝不仅仅是增加了主动阻断的功能，而是在性能和数据包的分析能力方面都比IDS 有了质的提升。

　　由于增加了主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍，Juniper 在IDP（Juniper 将自己的入侵防护产品命名为IDP) 中使用包括状态签名、协议异常、后门检测、流量异常、网络蜜罐、哄骗检测、第二层攻击检测、同步泛洪检测、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。Juniper还在不断增加IDP 能够解析的协议数量，最近将支持50 种协议增加到60多种，不断为防止新型攻击开发新的检测方法。

　　除了检测机制外，IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS 能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。 McAfee、Juniper、ISS同时都在 IPS 中提供了调优机制，使IPS 通过自学习提高检测的准确性。

　　引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标，所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee 也于日前收购了从事漏洞研究的 Foundstone公司，致力于把漏洞分析技术与入侵防护技术结合起来，使关键资源得到主动防护。Juniper设有一个专门的安全小组，密切关注新的系统弱点和蠕虫，每周都会发布攻击签名和基于严重等级的紧急签名更新， Juniper 提供的攻击签名是基于弱点和安全漏洞，而不仅仅是黑客已经使用并且造成破坏的安全弱点。