根据业内知名市场咨询机构IDC的最新报告显示，国内网络入侵防护市场已形成了群雄割据的局面，仅进入IDC市场报告统计名录的企业就有14家之多。众说纷纭的入侵防护产品技术让人难辨良莠，孰优孰劣，市场需要一把可以适度评价的标尺。

　　“安全、高速、易于部署”，这是国际著名安全产品测评机构——NSS Labs在评价一款IPS产品时，认为其应该具备的三种能力。也就是说，NSS Labs的专家们在建议企业客户选择IPS时，虽然要充分考虑产品的性能、部署能力及TCO(Total Cost of Ownership，总体拥有成本)等各项指标，但仍将安全有效性指标排在首位。

　　本文主要从“安全有效性”角度，以攻击规避流量检测为例，描述IPS产品所面临的挑战，以及相应的解决思路。

　　一、 从攻击规避检测技术看IPS的安全有效性

　　众所周知，为了提高产品的攻击检测效率，IPS一般采用特征检测、异常检测和关联分析等多种技术手段，以降低产品的误报率和漏报率。特征检测技术主要用于识别和定位各类已知威胁，异常检测方法则通常集成针对协议、应用和统计数据的异常检测技术，能够保护企业信息系统免受未知攻击的侵害，包括新的蠕虫、蓄意的隐性攻击、新环境下的攻击变种，以及分布式D.DoS攻击流量。

　　攻击规避技术是众多蓄意隐性攻击中应用范围最广，最有效的一类技术。当攻击者发现被攻击目标正受到IPS等产品保护时，攻击者往往会根据攻击目标的协议特性或漏洞，对攻击方式或攻击内容进行精心调整，进而逃避IPS等产品的检测。

　　应用了规避技术的网络攻击，会给企业带来不容忽视的安全威胁，如果不能对其进行正常、有效的处理，这类攻击会使得IPS产品形同虚设，将用户的网络资源暴露于攻击者面前，从而降低用户网络环境的安全性，增加用户资产遭受损失的风险。