入侵防御技术发展至今已有十余年，最早是Gartner 2003年年6月在一个学术会议上提出的，目的是为了克服入侵检测技术和防火墙的不足，由原来的被动防御转入主动响应和实时阻隔。目前的入侵防御技术正处在理论研究和实践应用交替阶段，因此本计算机软件毕业论文认为研究入侵防御技术无论是理论上还是实践上都具有较大意义。

　　1 入侵防御系统原理及分类

　　1.1 入侵防御系统原理

　　入侵防御系统（IPS）有两种定义，第一种认为它是具有自主的高智能的网络安全系统，不仅能够入侵检测，更能够主动响应和实时阻隔入侵，是整个网络安全体系的总体。第二种认为IPS是入侵检测系统和防火墙的综合，两者共同固化集成在一个部件。第二种提出先于第一种，但目前比较认同第一种。IPS原理可用图1来描述。由图1可知IPS分两部分（检测和防御）和两阶段（检测和控制），但都要受控于管理中心统一安全管理。

　　1.2 IPS分类

　　目前主要从保护对象进行分类，有三种：第一种基于主机的入侵防护（HIPS），用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏；

　　第二种基于网络的入侵防护（NIPS），通过检测流经的网络流量，提供对网络体系的安全保护，一旦辨识出入侵行为，NIPS就阻断该网络会话；

　　第三种应用入侵防护（AIP），是将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。

　　2 入侵防御技术特点

　　IPS作为新兴的安全技术，其核心理念是主动防御与实时检测，也是与防火墙和入侵检测根本区别。综合IPS技术实现有4个方面的特点。

　　（1）实时在线服务。IPS保留入侵检测实时检测的技术与功能，但是却采用了防火墙的在线服务方式，即直接嵌入到网络流量中，通过一个网络端口接收来自外部系统的流量，经过检测确认不包含异常流量或可疑内容后，再通过另外一个端口将它传送到内部系统中。

　　（2）及时响应。IPS具有强有力的实时阻断功能，能够预先对入侵活动和攻击性网络流量进行拦截，避免其造成不必要的损失；

　　（3）检测技术丰富。主要是并行处理检测和协议重组分析。并行处理检测是指所有流经IPS的数据包，都采用并行处理方式进行过滤器匹配，实现在一个时钟周期内，遍历所有数据包过滤器；而协议重组分析是指所有流经IPS的数据包，必须首先经过硬件级预处理，发表数据包的重组，确定其具体应用协议。然后，根据不同应用协议的特征与攻击方式，对重组后的数据包进行筛选，将可疑包送入特征库进行比较，从而提高检测的质量和效率；

　　（4）植入特殊规则。植入特殊规则主要是为了阻止恶意代码攻击。比如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等；

　　（5）自主学习与自适应能力强。为了防止黑客们有意攻击，IPS必须具有智能的自主学习与自适应能力。根据所在网络的通信环境和被入侵状况，IPS必须要分析和抽取新的攻击特征更新特征库，自动总结经验，定制新的安全防御策略。

　　3 关键技术分析

　　由IPS原理可知，入侵检测技术占据核心位置，根据检测分析方式不同，又分为异常检测和误用检测。

　　3.1 异常检测技术

　　异常检测技术是对正常行为建模，在进行网络检测时，如果有任何偏离正常行为模型的行为都认为是入侵行为。该技术的优点是能对未知的攻击行为有自主学习与自适应能力，缺点是误报率较高。常用异常检测技术可用表1归纳。

　　3.2 误用检测技术

　　也称为特征检测技术，基本思想是将来自网络的数据包捕获后，按照规定的检测算法对数据包分析检测，若与设定规则相符则判断系统出现了误用并报警。此类技术的核心是检测引擎的设计。目前主要有四种方法，分析见表2。

　　4 IPS技术现存在的问题

　　（1）系统性能瓶颈依然存在。因为IPS系统一般部署在网关处，流量检测和系统调用时，必然造成时间滞后。

　　（2）网络误报率影响严重。现在IPS报警率在3万条/小时，如果系统一旦报警，就会对后续数据包实施阻隔，不管数据流是否正常，都会拒绝服务，这种现象经常发生。

　　（3）成本太高也是阻碍IPS技术发展的重要因素之一。

　　5 未来IPS的需求

　　根据Gartner最新发布的下一代网络IPS研究报告可知，未来IPS在以前的基础上还应该具备以下功能。

　　（1）具有应用识别能力。能识别上千种应用程序的运行情况、所占带宽以及存在威胁和风险级别。

　　（2）对应用程序流量有良好的感知能力，提升系统综合防护能力。现在基于协议的流量明细是远远不够的，还应该提供比如攻击源IP地址及信用等级，攻击目标IP地址及其安全漏洞。

　　（3）具有内容感知能力。能识别各种嵌入在目标源程序中的安全威胁，并能实时响应和阻止异常发生。

　　（4）利用云安全实现实时威胁关联。随着攻击手段不断翻新，云安全技术势在必行，结合云安全与本地特征码来提高检测率，也可对抵御DDoS攻击提供技术支持。

　　本毕业论文阐述了，IPS是现在网络安全领域重要技术手段之一。因此文章从网络入侵防御技术的原理开始，分析了它一些固有特点，重点综合分析了当前入侵防御技术分类和算法，最后探讨了目前IPS存在的一些问题和未来IPS的发展要求。作为一个新兴的技术领域，还存在许多不确定的因素，可同一些其它学科相互关联，也许会有更多、更大的技术突破，为整个网络带来安全可靠的环境。