十年回望之入侵检测与防御

2010年3月31日，绿盟科技对外宣布，其入侵防御系统（NSFOCUS IPS）顺利通过国际权威机构NSS Labs的严格测试，荣获NSS Labs Approved认证，并且被NSS Labs认定为最高级别“Recommended”产品，在此之前仅有三家顶尖国际安全厂商的IPS得到过NSS Labs的鼎力推荐。历经十年磨砺，NSFOCUS IPS实现跨越，进入国际顶尖的产品行列。

十年前，诸多安全公司选择了IDS产品作为进入国内安全市场的第一款安全产品；十年后，大浪淘沙，业内知名的IDS产品并不多了，这十年发生了什么？未来十年又会怎样……

过去的十年

冰冻三尺非一日之寒，不论哪个产品，如何在十年的竞争中获得优势，一定与其在这个领域的执着和专注是密不可分的。

市场萌芽， IDS产品成为安全市场的敲门砖

2000年至2004年期间，各种蠕虫病毒大肆爆发，红色代码、尼姆达、冲击波，震荡波此起彼伏，它们的各种变种程序更是层出不穷，在互联网上任意肆虐。面对上述基于正常端口工作的蠕虫病毒，传统的防火墙（Firewall）显得束手无策，而入侵检测系统（IDS）则能够利用这些蠕虫病毒的攻击特征，进行检测和预警，这使得IDS一时名声大噪，各大安全厂商争先恐后涌入IDS市场。

就在国内IDS市场刚刚萌动的同时，国际安全厂商在海外酝酿一场新的技术变革。2000年9月18日，Network ICE第一次将pass by的IDS技术用于pass through模式，在线部署的BlackICE Guard产品，通过分析网络流量，直接丢弃恶意数据包，这也是入侵防御系统（IPS）的最早雏形。为了抑制当时较为泛滥的拒绝服务攻击（D.o.S），早期的IPS产品都带有一定抗拒绝服务攻击能力，部分网络厂商、负载均衡厂商借此机会跻身IPS市场，从而使得早期的IPS市场较为混乱。

绿盟科技是国内最早进入IDS市场的安全厂商之一，凭借对入侵检测市场的深刻理解，以及多年来在安全领域的深耕精作，绿盟入侵检测系统（NSFOCUS IDS）自2001年上市以来，就一直代表着业界IDS的最高水平，持续多年直至今日，该产品仍牢牢占据着国内IDS市场的领导者地位。

2004年，NSFOCUS IDS做出重大技术变革，在绿盟科技特别定制的安全操作系统之上，NSFOCUS IDS的引擎架构经过重新设计，检测技术由单包模式匹配，全面进化到完全的状态检测与深入的协议解码。同时，系统的稳定性和处理性能得到极大提升。由此形成的系统主体框架一直沿用到现在，这也成为了今后NSFOCUS IPS所采用的基本系统架构。

 
图1早期的NSFOCUS IDS产品图片

“IDS已死？”，IPS粉墨登场！

随着互联网的普及，公司之间的联系比以往更加密切，更多企业的生产系统，以及运营体系逐渐向互联网迁徙，在发展或提高生产力的同时，安全成为企业尤为关注的重要环节。防火墙和IDS在面对趋于复杂的混合性安全威胁时略显苍白，企业迫切需要一种能够积极、主动应对不断变化的安全威胁，有效控制各类网络安全风险的产品，IPS再次引起人们的关注。

IPS将入侵检测技术应用到串联网络之中，旨在第一时间对所有出入企业网络的流量进行深度分析和检测，实时阻断攻击。基于其高效的处理性能和精准的检测效率，IPS重新诠释了网络安全的定义，并从根本上改变了人们保护网络架构和应用系统的方式。

区别于防火墙和IDS，IPS具有更精准的检测率和更有效的执行力，能够实现对整个报文流直至应用层的全面检测和保护。系统融合多重检测机制，通过应用状态防火墙、智能协议分析、异常检测、状态签名、关联分析，以及行为建模等多种方法，以确保能准确识别入侵，并在损失发生之前精确拦截攻击，从而持续净化互联网和内网的流量。

 
图2入侵防御系统和传统安全产品的区别

因为IPS能够完全取代IDS，并提供IDS所不具备的关键功能，使得IPS产品逐渐成为国内IT安全市场上一个新的热点。然而，早期的国内IPS市场充斥着传统国际IPS厂商的身影，多数国内安全厂商却仍在为IDS和IPS孰是孰非，为Gartner的“IDS is dead”论调争论不休。直至2005年9月，绿盟科技正式推出了国内第一款IPS产品 —— 绿盟入侵防御系统（NSFOCUS IPS），终于打破国际IPS厂商一统天下的局面。