【IT168 专稿】入侵防御系统（IPS）作为一种串接在网络当中，对所保护网络提供深层攻击防御的安全产品，已经得到了越来越广泛的应用。和入侵检测系统（IDS）所不同的是，入侵防御的在线接入方式使得它可以在发现攻击行为后，做出主动的响应，比如包丢弃或会话切断。入侵防御系统提供对风险的控制，而不是像入侵检测系统那样，将报警信息和解决对策提供给用户，提供对风险的管理。

在线部署要求更高可靠性

正是由于入侵防御系统的在线式部署方式，对入侵防御设备的用户提出了更高的系统可靠性需求，这使得入侵防御系统厂商不得不将注意力集中在如何提高系统的稳定性和可靠性上。

对入侵防御系统来说，可靠性有两个方面的含义。

第一，要确保设备自身的可靠性，作为online式的设备，自身的宕机、系统崩溃等都将造成网络的不可用。

第二，由于入侵防御系统检测和防御的对象是网络实时数据流，如果对攻击的判断不准确，将正常的业务数据误判作攻击行为，将使得网络资源的不可用。

硬件的架构设计和软件系统的优化都将影响到设备的可靠性，这就要求入侵防御产品的生产厂商在硬件安全产品方面有较为丰富的经验，特别是在那些需要长期稳定运行的硬件安全产品方面。从目前可提供入侵防御产品的厂商名录中来看，基本都能符合这一要求。

而攻击事件判断则是保证入侵防御产品可靠性的一个重要因素。从标准的CIDF模型（图1）中来看（虽然CIDF模型是入侵检测系统的模型，但从对入侵行为的检测过程来看，也同样适用于入侵防御系统的事件检测部分），事件分析单元是判断事件的关键组件，它包括两个方面的关键因素，一个是分析算法，另一个就是事件匹配库。

分析算法一是用以提高分析效率和性能，二就是对一些特殊的攻击行为，需要有专门的算法才能准确和全面的判断，如SQL注入攻击，本身并没有统一的数据特征，没有办法通过事件匹配规则的定义来实现对这类型攻击的全面检测，这就需要用到专门的分析算法。启明星辰公司的天清入侵防御系统利用了专利技术的SQL注入攻击分析算法，可以全面而准确的判断SQL注入攻击。
除了分析算法外，事件匹配库是决定入侵防御系统攻击判断准确性的最关键因素，任何攻击行为都有着一定的行为模式，如何通过定义特征，来准确而全面的涵盖这些行为模式，就是事件匹配库需要关心的内容（这里可能还需要事件分析算法的配合），同样，这也是所有入侵防御系统厂商所最关心的内容：能准确判断和防御的攻击行为的数量和种类决定了入侵防御系统的可持续发展。

入侵防御系统的可持续发展

可准确判断和防御的攻击行为的数量和种类主要从两个方面来体现，即新漏洞、攻击的检测和抗躲避技术/算法。
启明星辰公司作为国内入侵检测技术的领跑者，其完善的支持体系（图2）可以全面支持这两个方面的需求。

 

              
图2 启明星辰入侵检测业务支持架构

及时、准确地发现最新漏洞，并对网络提供保护，是用户对入侵防御系统的一项基本要求。特别是对0-days的防御，随着网络技术的发展，互联网已显得越来越“小”，任何网络都有可能成为攻击者的“试验田”，在没有官方补丁出现之前，只能依靠如入侵防御系统这样的安全产品来对网络提供防御。启明星辰公司依托ADLABTM（积极防御试验室），可以独立发现漏洞，截至2006年年底，ADLABTM已发现重要安全漏洞上百个，获得CVE认可的漏洞数达30余个；作为国内惟一一家授权查看微软源码的以入侵检测技术为核心的安全公司，启明星辰可以在代码层面分析攻击原理，定义相应的事件规则。此外，启明星辰公司作为CVE的成员，CNCVE的承办单位，有着超过5000个的客户信息资源，并且有国内最大的远程监控服务试验室，有着最为广泛的事件、漏洞信息来源。

在抗躲避方面，启明星辰公司有着国内第一家也是最大的一家公司级信息安全博士后工作站，汇集了诸多信息安全博士后研究资源，对于那些无法精确进行定义的攻击行为进行算法层面的研究和优化。如前文提到的SQL注入分析算法，就是工作站的研究成果，该算法与国内外学术界、产业界的相关技术相比，有更低的漏报率和误报率，达到了国际领先水平。
强大、完善的事件检测业务支持架构，可提供更多种类和数量的准确攻击行为判断，决定了入侵防御系统的可持续发展。