入侵防御系统IPS，苹果熟了吗？

核心提示： 从技术的同源性上来看， IPS 和IDS之间有着千丝万缕的必然联系，入侵防御系统IPS，苹果熟了吗？(4)，IPS 可以被视作是增加了主动阻断功能的IDS，例如 McAfee 的IntruShield 以在线方式接入网络时就是一台IPS，每周都会发布攻击签名和基于严重等级的紧急签名更新，

从技术的同源性上来看， IPS 和IDS之间有着千丝万缕的必然联系，IPS 可以被视作是增加了主动阻断功能的IDS。例如 McAfee 的IntruShield 以在线方式接入网络时就是一台IPS，而以旁路方式接入网络时就是一台IDS。但是，IPS 绝不仅仅是增加了主动阻断的功能，而是在性能和数据包的分析能力方面都比IDS 有了质的提升。

由于增加了主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍，Juniper 在IDP（Juniper 将自己的入侵防护产品命名为IDP) 中使用包括状态签名、协议异常、后门检测、流量异常、网络蜜罐、哄骗检测、第二层攻击检测、同步泛洪检测、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。Juniper还在不断增加IDP 能够解析的协议数量，最近将支持50 种协议增加到60多种，不断为防止新型攻击开发新的检测方法。

除了检测机制外，IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS 能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。 McAfee、Juniper、ISS同时都在 IPS 中提供了调优机制，使IPS 通过自学习提高检测的准确性。

引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标，所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee 也于日前收购了从事漏洞研究的 Foundstone公司，致力于把漏洞分析技术与入侵防护技术结合起来，使关键资源得到主动防护。Juniper设有一个专门的安全小组，密切关注新的系统弱点和蠕虫，每周都会发布攻击签名和基于严重等级的紧急签名更新， Juniper 提供的攻击签名是基于弱点和安全漏洞，而不仅仅是黑客已经使用并且造成破坏的安全弱点。