曾經(jīng)入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）被認(rèn)為是解決企業(yè)內(nèi)部檢測(cè)攻擊的最佳方案。 但近來(lái)IPS/IDS技術(shù)被認(rèn)為是過(guò)時(shí)，無(wú)效和無(wú)用的。而事實(shí)上它介于這兩種極端觀點(diǎn)之間。IPS/IDS技術(shù)是全面攻擊和漏洞檢測(cè)系統(tǒng)的重要組成部分，它們與其他類型的企業(yè)安全控制協(xié)同工作。

與10或15年前相比，IDS/ IPS技術(shù)并沒有很大的改變，但也有重大的技術(shù)創(chuàng)新和改變，提高了檢測(cè)能力。本文將會(huì)帶給你IPS/IDS的最新技術(shù)，新功能和其他顯著變化。

信譽(yù)服務(wù)

很多基于網(wǎng)絡(luò)和基于主機(jī)的IDS和IPS產(chǎn)品最近都增加了信譽(yù)服務(wù)。這些服務(wù)已經(jīng)在其他類型的安全控制中使用多年。信譽(yù)服務(wù)能收集域名，IP地址，應(yīng)用協(xié)議，物理位置和計(jì)算活動(dòng)的其他方面信息。然后，IPS/IDS系統(tǒng)利用這些信息來(lái)確定新的活動(dòng)是否是是惡意的。此信息對(duì)提高確定IPS/IDS警報(bào)的優(yōu)先級(jí)特別有價(jià)值。例如，IPS/IDS傳感器可以對(duì)各類不尋常的活動(dòng)發(fā)出警報(bào)，但是這些IP地址之一的其他惡意操作歷史記錄可能會(huì)提升它的分析優(yōu)先級(jí)，因?yàn)樗赡苁怯袗阂獾摹?/p>

無(wú)線IPS/IDS的改進(jìn)

無(wú)線IPS/IDS技術(shù)比其他形式的IPS/IDS技術(shù)都要先進(jìn)。隨著無(wú)線技術(shù)的發(fā)展，無(wú)線IPS/IDS技術(shù)正不斷擴(kuò)大自己的能力。例如，自從IEEE 802.11n傳輸標(biāo)準(zhǔn)確定后，大多數(shù)無(wú)線IPS/IDS技術(shù)已經(jīng)增加了對(duì)此標(biāo)準(zhǔn)的支持。

不管企業(yè)是否支持無(wú)線設(shè)備，企業(yè)使用無(wú)線IPS/IDS都是一個(gè)很好的選擇。如果企業(yè)支持無(wú)線，包括BYOD（自備設(shè)備），那么就更需要監(jiān)控來(lái)避免網(wǎng)絡(luò)配置錯(cuò)誤和攻擊。如果企業(yè)不準(zhǔn)許使用無(wú)線技術(shù)，無(wú)線IPS/IDS仍然可以檢測(cè)出未經(jīng)授權(quán)的使用，甚至幫助企業(yè)自身找到哪里有無(wú)線。

企業(yè)應(yīng)該充分利用企業(yè)移動(dòng)設(shè)備管理（MDM）軟件所提供的與無(wú)線IPS/IDS一樣的性能。這樣的軟件越來(lái)越多地部署在企業(yè)內(nèi)部，用來(lái)幫助企業(yè)管理智能手機(jī)，平板電腦和其他移動(dòng)設(shè)備。

SSL加密流量的在線檢測(cè)

隨著HTTPS和其它加密協(xié)議應(yīng)用的增加，網(wǎng)絡(luò)IPS/IDS傳感器普遍對(duì)檢測(cè)網(wǎng)絡(luò)流量已變得沒有多大作用。然而，最近一些網(wǎng)絡(luò)IPS/IDS產(chǎn)品增加了內(nèi)網(wǎng)部署和檢測(cè)SSL加密流量的能力。這些產(chǎn)品基本上就是充當(dāng)一個(gè)代理，它建立了兩個(gè)SSL的連接：一個(gè)從端點(diǎn)A連接到IPS/IDS傳感器，另外一個(gè)從IPS/IDS傳感器連接到端點(diǎn)B，從端點(diǎn)A到端點(diǎn)B就不是單一的SSL連接，而是通過(guò)傳感器加密。事實(shí)上，這種設(shè)備可以對(duì)一個(gè)加密的數(shù)據(jù)包進(jìn)行解密，檢測(cè)，再加密，然后將其無(wú)顯著延遲的發(fā)送。而且它也在連接中插入一個(gè)代理，代理自身是安全和可靠的。企業(yè)可能更傾向于使用基于主機(jī)的IPS/IDS而不是基于網(wǎng)絡(luò)的IPS/IDS進(jìn)行SSL加密流量檢測(cè)。

虛擬環(huán)境中IPS/IDS的應(yīng)用

云計(jì)算的興起帶來(lái)了對(duì)云安全技術(shù)的特性需求。值得慶幸的是，hypervisor（虛擬機(jī)管理器）是監(jiān)控一個(gè)虛擬實(shí)例和不同虛擬實(shí)例間網(wǎng)絡(luò)行為的好地方，更知名的叫法師內(nèi)部檢測(cè)。一些hypervisor主動(dòng)提供自己的入侵檢測(cè)技術(shù)，另外一些hypervisor可以把內(nèi)部檢測(cè)收集而來(lái)的信息傳遞到外部安全的控件，例如，標(biāo)準(zhǔn)的基于主機(jī)的IPS/IDS來(lái)檢測(cè)和發(fā)出警報(bào)。企業(yè)要確保當(dāng)一個(gè)虛擬實(shí)例從一個(gè)云服務(wù)器移到另一個(gè)時(shí)，其安全策略（包括IPS/IDS配置）也一并被轉(zhuǎn)移。