隨著互聯網安全的意識逐漸深入人心，傳統的防火墻技術在對于網絡入侵的已經具有很大的局限性。隨著技術的飛速發展，人們已經不僅滿足于防火墻的保護，其后IDS的出現可以彌補防火墻的不足，為網絡提供實時的監控，并且在發現入侵的初期采取相應的防護手段。但是，人們也逐漸意識到IDS所面臨的問題。IDS是以被動的方式工作，只能檢測攻擊，而不能做到真正實時地阻止攻擊。于是誕生了IPS技術，我們稱之為入侵防御系統填補了這一項空白。

IPS技術的出現可謂是企業網絡安全的革命性創新。然而創新意味著對困難的克服，IPS技術必須克服三大障礙。

旁路變串接的障礙

改進IDS旁路工作方式，使得IPS不僅能旁路工作，還能串接在網絡中工作，對攻擊的防御由被動防御變成主動防御。

串接在網絡上后，IPS技術的一些痼疾就展現出來了。

第一個是漏報誤報率問題。IDS因為檢測手法比較單純，漏報誤報一直是IDS產品的弱點，人們甚至因此對IDS的實用性產生了懷疑。IDS因為是被動防御，產生誤報后只要沒有聯動措施，都不會影響網絡的正常工作。而IPS技術是串接在網絡中的主動防御，產生誤報后將直接影響網絡的正常工作。這樣安全產品就變成網絡的故障點了。

舉例來說，機場在安檢處檢查旅客時，不能僅憑旅客是否鬼鬼祟祟，冒似恐怖分子就把他抓起來，如果抓錯人會直接影響機場的正常工作秩序，必須有搜身，驗指紋等新的技術，保證抓獲的是真正的恐怖分子。

第二個是性能問題。IDS因為是旁路工作，對實時性要求不高，而IPS技術串接在網絡上，要求必須像網絡設備一樣對數據包做快速轉發。因此，IPS技術需要在不影響檢測效率的基礎上做到高性能的轉發。

舉例來說，安檢是要對每個旅客檢查的項目多了，但不能因此耽誤飛機的起飛時間。這就對檢查時間提出了高要求，必須能快速檢查完更多的項目。

功能延伸的障礙

IPS技術必須大大擴展安全功能，在網絡蠕蟲的預防、BT下載的限制、垃圾郵件的防范等方面做更多的工作。這些工作對傳統的IDS技術來說力不從心，就像以前的機場安“911”的劫機犯混過安檢一樣，現在的機場安檢必須能檢查出來這種恐怖分子。

擴大規則庫的障礙

隨著網絡蠕蟲等自動攻擊的泛濫，一種漏洞會被多種病毒所利用。因此在規則庫中光檢測到一種漏洞已經遠遠不能滿足用戶的需求，用戶需要看到哪種蠕蟲或后門木馬。

這就需要廠商在規則庫的更新和維護上投入更多的資源，不光是跟蹤官方公布的漏洞和最常見的攻擊程序等，還要對網絡上流傳的種種病毒、木馬等程序做分析。規則庫的條數要達到幾萬條以上，更新速度要達到每天更新，現有的IDS規則更新體系已經滿足不了IPS技術要求。

【編輯推薦】

1. WAF vs IPS 誰更適合防護Web應用？
2. 利用IPS完美構建企業立體Web安全防護網
3. 解決方案：UTM和IPS兼顧立體安全防護
4. 從攻擊規避檢測技術看IPS的安全有效性
5. 拯救網站運維經理趙明活動結束：IPS受寵明顯 WAF仍需努力