在過去的兩年中，入侵檢測（IDS）技術一度被炒得熱火朝天，而去年6月，Gartner的一份非常著名的報告很果斷地宣告了IDS技術的“死刑”，它宣布入侵防御（IPS）將成為IDS的“掘墓人”。到底IPS有何高明之處，使得它在網絡安全舞臺一登場便贏得如此高的實力指數？

　　據國外安全廠商NetScreen的技術專家介紹：相對于IDS的被動檢測及誤報等問題，IPS是一種比較主動、機智的防御系統。從功能上講，作為并聯在網絡上的設備，絕大多數IDS一般需要與防火墻聯動或發送TCPreset包來阻止攻擊。而IPS本身就可以阻止入侵的流量。

　　從技術上講，IDS系統在識別大規模的組合式、分布式的入侵攻擊方面，還沒有較好的方法和成熟的解決方案，誤報與漏報現象嚴重，用戶往往淹沒在海量的報警信息中，而漏掉真正的報警；此外，IDS只能報警而不能有效采取阻斷措施的設計理念，也不能滿足用戶對網絡安全日益增長的需求。相反，IPS系統則沒有這種問題，它的攔截行為與其分析行為處在同一層次，能夠更敏銳地捕捉入侵的流量，并能將危害切斷在發生之前。從IDS到IPS，這是必然的趨勢。

　　但IPS能否真正取代IDS，來自總參的一位技術專家認為，“IDS+防火墻”的聯動防護機制與IPS會在今后相當長的時間內并存，IPS的發展勢頭會更好一些。但IPS并不是防火墻的替代者，至少在當前，IPS與防火墻的互補作用還十分明顯，防火墻負責提供3-4層的基本安全環境和高速轉發能力，而IPS負責4-7層流量的小粒度控制。事實上，在電信級流量背景下，對于4-7層的流量進行分析和過濾是不現實的，只有高性能的防火墻系統才能為網絡提供必要的防護。因此，IPS更加適用于中等規模的網絡，以及作為大型網絡中的第二層防護，用以保護關鍵的業務和應用。

　　另外，專家還指出了IPS技術的四大特征：只有以嵌入模式運行的IPS設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包；IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截；高質量的入侵特征庫也是IPS高效運行的必要條件；IPS還必須具有高效處理數據包的能力。(e129)