【IT168 专稿】入侵防御系统（IPS）作为一种串接在网络当中，对所保护网络提供深层攻击防御的安全产品，已经得到了越来越广泛的应用。和入侵检测系统（IDS）所不同的是，入侵防御的在线接入方式使得它可以在发现攻击行为后，做出主动的响应，比如包丢弃或会话切断。入侵防御系统提供对风险的控制，而不是像入侵检测系统那样，将报警信息和解决对策提供给用户，提供对风险的管理。

在线部署要求更高可靠性

正是由于入侵防御系统的在线式部署方式，对入侵防御设备的用户提出了更高的系统可靠性需求，这使得入侵防御系统厂商不得不将注意力集中在如何提高系统的稳定性和可靠性上。

对入侵防御系统来说，可靠性有两个方面的含义。

第一，要确保设备自身的可靠性，作为online式的设备，自身的宕机、系统崩溃等都将造成网络的不可用。

第二，由于入侵防御系统检测和防御的对象是网络实时数据流，如果对攻击的判断不准确，将正常的业务数据误判作攻击行为，将使得网络资源的不可用。

硬件的架构设计和软件系统的优化都将影响到设备的可靠性，这就要求入侵防御产品的生产厂商在硬件安全产品方面有较为丰富的经验，特别是在那些需要长期稳定运行的硬件安全产品方面。从目前可提供入侵防御产品的厂商名录中来看，基本都能符合这一要求。

而攻击事件判断则是保证入侵防御产品可靠性的一个重要因素。从标准的CIDF模型（图1）中来看（虽然CIDF模型是入侵检测系统的模型，但从对入侵行为的检测过程来看，也同样适用于入侵防御系统的事件检测部分），事件分析单元是判断事件的关键组件，它包括两个方面的关键因素，一个是分析算法，另一个就是事件匹配库。

分析算法一是用以提高分析效率和性能，二就是对一些特殊的攻击行为，需要有专门的算法才能准确和全面的判断，如SQL注入攻击，本身并没有统一的数据特征，没有办法通过事件匹配规则的定义来实现对这类型攻击的全面检测，这就需要用到专门的分析算法。启明星辰公司的天清入侵防御系统利用了专利技术的SQL注入攻击分析算法，可以全面而准确的判断SQL注入攻击。
除了分析算法外，事件匹配库是决定入侵防御系统攻击判断准确性的最关键因素，任何攻击行为都有着一定的行为模式，如何通过定义特征，来准确而全面的涵盖这些行为模式，就是事件匹配库需要关心的内容（这里可能还需要事件分析算法的配合），同样，这也是所有入侵防御系统厂商所最关心的内容：能准确判断和防御的攻击行为的数量和种类决定了入侵防御系统的可持续发展。