IPS助用户重掌安全主动权

系统漏洞已经成为令安全人员最头痛的问题之一。用户在打软件补丁时面临着多重挑战：首先，黑客经常会抢在厂商发布漏洞补丁之前发动攻击；其次，对于一些企业来说，需要在打补丁之前对补丁进行测试，以确保它不会影响关键系统的性能；而对另外一些企业来讲，打补丁的挑战是如何在不同用户环境下将补丁分发到每个单独的终端用户，并说服他们安装这些补丁。总的来说，打补丁的过程需要花费时间，而在这个时间窗内，有漏洞的计算机很可能因为没有得到保护而遭受攻击。

“虚拟补丁”发挥作用

要解决补丁时间窗的问题，IPS将大显身手，因为IPS最主要的价值就是可以提供“虚拟补丁”的功能。就算是有漏洞的系统没有打补丁，“虚拟补丁”也能够保护该系统不受攻击。“虚拟补丁”采用针对漏洞进行防范而不是对攻击手法进行匹配的检测方式，这种方式已经成为主流。“虚拟补丁”利用一个或一组IPS过滤器，有效地阻挡所有企图利用特定漏洞进行的攻击。在恶意程序对目标进行攻击时，“虚拟补丁”程序就会立即确定并阻挡发送来的恶意通信。“虚拟补丁”程序之所以能够发挥作用，是因为它采用了高精确的漏洞过滤器技术。这种专门设计的过滤器可应对最大范围的攻击和应对最大弹性的规避。这意味着不同的攻击者开发的攻击代码可以完全不同，也可以使用各种多态 shellcode生成器或其他躲避技术，但无论怎样，过滤器都可以阻挡所有攻击而不会影响正常流量。这样的过滤器使未安装补丁的系统从外部攻击者的角度看上去是已经安装补丁的。

在IPS厂商和黑客之间，围绕着系统漏洞，每时每刻都在进行着一场比时间、比技术的赛跑。如果厂商获胜，先于黑客推出“虚拟补丁”程序，那么黑客面对漏洞无计可施。如果黑客抢在了厂商的前面，用户的系统则处在危险之中，很可能受到攻击。

混合型架构取长补短

要提供实用的“虚拟补丁”，IPS必须保证全部过滤器都启用，同时还要正常处理千兆网络中的高负载，这就对IPS的性能提出了很高的要求。IPS是否会成为网络的瓶颈，也是用户最担心的问题。

采用ASIC硬件架构的IPS，优点是性能高，缺点是扩展性差；而采用通用处理器又面临性能不够的问题。因此，能够解决性能和通用性矛盾的混合型架构就成为了IPS的主流架构模式。据安氏领信IPS产品主管武鹏介绍，安氏领信的IPS采用了NP＋Multi-RISC的多处理器硬件架构，合成了网络处理器强大的包处理能力和RISC高效、灵活的良好特性，是能够实现入侵防御功能的线速处理引擎。其实现了高达5Gbps的转发性能并能够保证微秒级的处理延迟，完全能够满足关键数据交换的性能要求，可以胜任骨干网及数据中心的带宽需求。

基于多处理器架构设计和开发的产品的最大风险来自成本。因为引擎的设计与开发需要参与者具有极高的技术水平及丰富的多处理器软件设计经验，才能较好完成对称多处理系统的产品开发工作，从而导致产品开发周期较长，成本大幅增加。此外，就目前的设计水平而言，多处理器架构所采用的基于会话的负载均衡机制使采用这种架构的IPS只有工作在真实的大量并发会话存在的环境中才能发挥出最高性能。

TippingPoint的IPS采用NP＋FPGA＋CPU的混合架构。该公司工程师李臻认为，由于IPS的主要任务是防御应用层面的攻击，而这些应用层面的攻击隐藏在IP包的负载中，而且位置和长度往往不固定，这就需要进行不定偏移量和长度的特征匹配。CPU的灵活性当然可以实现上述查找，但问题是现在已知攻击有上千种，网络的带宽达到数G，而IPS要对攻击实施主动拦截，必须在线工作，这种情况下采用通用CPU架构，在真实网络中打开上千特征匹配规则，其性能（主要是吞吐量和延时）无法满足千兆链路上实现攻击检测和拦截的需要。而FPGA可以卸载CPU在这方面的负担，实现不定偏移量和长度的特征匹配，而且是并行处理，可以同时匹配成千上万条规则，所以采用了FPGA的IPS是真正的硬件加速IPS，可以提供数G的吞吐量，同时延时小于100微秒。

不一样的IPS

在一些高端UTM中也提供了IPS功能，那么，UTM中的IPS和专用IPS设备有哪些不同呢？专业的IPS厂商的观点比较一致，他们普遍认为：首先，定位不同。UTM的特点在全面和高性价比，以目前的技术水平看，UTM的定位在中小网络。而专用IPS设备的目标市场是大企业、电信级的网络环境。其次，IPS的能力不同。就UTM的IPS功能而言，大多采用了与目前IDS相同的（或者更轻量级）的检测引擎技术结合防火墙自身的访问控制能力而构成的“入侵防护”功能模块。在检测方法上大多仍属于有限的基于内容的攻击手法检测。在UTM中引入类似IDS的检测技术是为了配合其自身业务系统的技术需要。IDS在应用分类与识别方面的优势（例如：P2P、IM的识别）恰恰是UTM在进行带宽分析与管理时不可或缺的技术前提。因此，在UTM中出现的IPS模块应该被理解为服务于UTM整体业务需求的轻量级安全防护模块，而不是“入侵防御”技术领域的全新技术。

下一个立足点

今天，IPS已经可以在高达1 Gbps的吞吐量下运行，是一个真正的1 Gbps设备。未来，为了满足在万兆网络中部署的需要，将会出现10G的IPS，我们在2007年就会看到这样的产品。

在引擎技术方面，高端通用型IPS将在新的安全检测模型的指导下进一步完善其分析处理能力。尽管IPS已经提出了新的安全评估模型和理论，但是由于工程化的问题，许多具体的技术细节还没有很好地解决。在未来，应用代理与方针技术很可能会被大量采用。

IPS的防护与网络活动干预手段将更加丰富。目前的IPS产品在访问控制能力上仍然停留在传输层的水平，未来将会增加不同级别和粒度的流控机制，以改变现有IPS对通信过程过于简单和粗糙的干预方式。此外，新防护手段的加入也是令人期待的，比如蜜罐技术、路由欺骗、攻击定位甚至是反击。

随着IPS市场的进一步细分，由于需求的不对称性产生的细分市场将导致在通用IPS基础上衍生出某些“专用型”IPS产品，比如针对某些特定数据库业务系统的“入侵防护”产品。