防御专家 深入剖析入侵防御系统(1)

有人认为，入侵防御系统（IPS）就是入侵检测系统（Intrusion Detection System，IDS）的升级产品，有了IPS，就可以替代以前的IDS系统，这也正是gartner 在2003年发表那篇著名的“IDS is dead” 的理由。

从入侵防御系统的起源来看，这个“升级说”似乎有些道理：Network ICE公司在2000年首次提出了IPS这个概念，并于同年的9月18日推出了BlackICE Guard，这是一个串行部署的IDS，直接分析网络数据并实时对恶意数据进行丢弃处理。

但这种概念一直受到质疑，自2002年IPS概念传入国内起，IPS这个新型的产品形态就不断地受到挑战，而且各大安全厂商、客户都没有表现出对IPS的兴趣，普遍的一个观点是：在IDS基础上发展起来的IPS产品，在没能解决IDS固有问题的前提下，是无法得到推广应用的。

这个固有问题就是“误报”和“滥报”，IDS的用户常常会有这种苦恼：IDS界面上充斥着大量的报警信息，经过安全专家分析后，被告知这是误警。但在IDS旁路检测的部署形式下，这些误警对正常业务不会造成影响，仅需要花费资源去做人工分析。而串行部署的IPS就完全不一样了，一旦出现了误报或滥报，触发了主动的阻断响应，用户的正常业务就有可能受到影响，这是所有用户都不愿意看到和接受的。正是这个原因，导致了IPS概念在05年之前的国内市场表现平淡。

随着时间的推进，自2006年起，大量的国外厂商的IPS产品进入国内市场，各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。

IPS到底是什么？

“IPS可以阻断攻击，这正是IDS所做不了的，所以IPS是IDS的升级，是IDS的替代品”，可能很多人都会有这种看法。

我们先来看IPS的产生原因：

A：串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。
B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。
C： IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际应用中的效果不显著。

于是就有下面的一种想法，如图1所示。

图1 IPS的起源

这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全产品。

而为什么会有这种需求呢？是由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。

入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。

入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。

这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。