【正文】 種過濾器負責分析相對應的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進，而包含惡意內容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進一步的檢查。針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則，為了確保準確性，這些規(guī)則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。 IPS的優(yōu)勢與局限性 IPS是針對IDS不能提供主動拒絕的特點而提出的一種新的安全技術，主要具有以下優(yōu)點： （1）主動、實時預防攻擊。IPS提供對攻擊的實時預防和分析，能夠在任何未授權活動開始前找出攻擊，并防止它進入重要的服務器資源。 （2）保護每個重要的服務器。通過配置IPS，可以設定對服務器的專門保護方案，從而為企業(yè)的重要的資源提供深層防護。（3）誤報和漏報率低。雖然仍然無法做到完全不誤報漏報，但是相對于IDS已經提高了一大步。 （4）深層防護。IPS可進行深層防護。 （5）可管理性。IPS可使安全設置和政策被各種應用程序、用戶組和代理程序利用。雖然IPS相對與IDS的優(yōu)勢明顯，但是它與IDS一樣，需要解決網絡性能、安全精確度和安全效率問題。首先，IPS系統(tǒng)需要考慮性能，即需要考慮發(fā)現(xiàn)入侵和作出響應的時間。IPS設備以在線方式直接部署在網絡中，無疑會給網絡增加負荷，給數(shù)據(jù)傳輸帶來延時。為避免成為瓶頸，IPS系統(tǒng)必須具有線速處理數(shù)據(jù)的能力，能夠提供與2層或者3層交換機相同的速度，而這一點取決于IPS的軟件和硬件加速裝置。除了網絡性能之外，IPS還需要考慮安全性，盡可能多得過濾掉惡意攻擊，這就使IPS同樣面臨誤報和漏報問題。在提高準確性方面，IPS面臨的壓力更大。一旦IPS做出錯誤判斷，IPS就會放過真正的攻擊而阻斷合法的事務處理，從而造成損失。另外IPS還存在一些其它的弊端：IPS比較適合于阻止大范圍的、針對性不是很強的攻擊，但對單獨目標的攻擊阻截有可能失效，自動預防系統(tǒng)也無法阻止專門的惡意攻擊者的操作；IPS還不具備足夠智能識別所有對數(shù)據(jù)庫應用的攻擊?！狪MS IMS技術實際上包含了IDS、IPS的功能，并通過一個統(tǒng)一的平臺進行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。IMS技術是一個過程，在行為未發(fā)生前要考慮網絡中有什么漏洞，判斷有可能會形成什么攻擊行為和面臨的入侵危險；在行為發(fā)生時或即將發(fā)生時，不僅要檢測出入侵行為，還要主動阻斷，終止入侵行為；在入侵行為發(fā)生后，還要深層次分析入侵行為，通過關聯(lián)分析，來判斷是否還會出現(xiàn)下一個攻擊行為。IMS具有大規(guī)模部署、入侵預警、精確定位以及監(jiān)管結合四大典型特，這些特征本身具有一個明確的層次關系。首先，大規(guī)模部署是實施入侵管理的基礎條件，一個有組織的完整系統(tǒng)通過規(guī)模部署的作用，要遠遠大于單點系統(tǒng)簡單的疊加，IMS對于網絡安全監(jiān)控有著同樣的效用，可以實現(xiàn)從宏觀的安全趨勢分析到微觀的事件控制。第二、入侵預警。檢測和預警的最終目標就是一個“快”，要和攻擊者比時間。只有減小這個時間差，才能使損失降低到最小。要實現(xiàn)這個“快”字，入侵預警必須具有全面的檢測途徑，并以先進的檢測技術來實現(xiàn)高準確和高性能。入侵預警是IMS進行規(guī)模部署后的直接作用，也是升華IMS的一個非常重要的功能。第三、精確定位。入侵預警之后就需要進行精確定位，這是從發(fā)現(xiàn)問題到解決問題的必然途徑。精確定位的可視化可以幫助管理人員及時定位問題區(qū)域，良好的定位還可以通過聯(lián)運接口和其它安全設備進行合作抑制攻擊的繼續(xù)。IMS要求做到對外定位到邊界，對內定位到設備。第四、監(jiān)管結合。監(jiān)管結合就是把檢測提升到管理，形成自改善的全面保障體系。網絡安全防護技術發(fā)展到IMS階段，已經不再局限于某類簡單的產品了，它是一個網絡整體動態(tài)防御的體系，對于入侵行為的管理體現(xiàn)在檢測、防御、協(xié)調、管理等各個方面，通過技術整合，可以實現(xiàn)“可視+可控+可管”，形成綜合的入侵管理系統(tǒng)。它的分析技術將以協(xié)議分析為核心，以模式匹配為必備，以異常檢測為補充。要求不僅僅對于入侵檢測的數(shù)學模型、數(shù)據(jù)挖掘了如指掌,更重要的對于數(shù)據(jù)理解、數(shù)據(jù)認知等方面也必須深入發(fā)展。圖3分析了入侵管理的過程：防止攻擊檢測攻擊階段攻擊確認攻擊調查安全事件趨勢評估脆弱性,策略,措施監(jiān)視攻擊行為和網絡流量監(jiān)視系統(tǒng)調用分析日志調查事件數(shù)據(jù)漏洞通告,補丁,建議報警,記錄,阻斷,協(xié)同工作,終止入侵組織行動，報警，記錄確認攻擊狀態(tài),報警,記錄,終止用戶提交報告目標IMS行為IMS響應開始前開始進行中結束結束后圖43 IMS入侵管理過程網絡安全不是目標而是過程，網絡安全的本質是“風險管理”?！叭肭止芾恚↖MS）”概念的提出與相應的產品與服務出現(xiàn)，則可以幫助用戶建立一個動態(tài)的縱深防御體系，把握整體網絡安全全局。 技術展望 從IPS到IMS，增加了管理的概念，這也正是網絡安全的發(fā)展方向。在這個網絡安全問題越來越嚴重的社會，網絡安全需要多層次系統(tǒng)的管理，網絡安全的目標是保護核心資產完整性，將可能發(fā)生的損失減到最小，投資回報率最大化，確保業(yè)務的連續(xù)運行?，F(xiàn)在所說的安全已經不是單獨一個產品所能解決的問題，需要多種安全工具的協(xié)同合作，IMS概念的提出與相應產品及服務的出現(xiàn)，可以幫助用戶建立一個動態(tài)的縱深防御體系，從整體上把握網絡安全。結 論在網絡安全方面，國內的用戶對防火墻已經有了很高的認知程度，而對入侵檢測系統(tǒng)的作用大多不是非常了解。防火墻在網絡安全中起到大門警衛(wèi)的作用，對進出的數(shù)據(jù)依照預先設定的規(guī)則進行匹配，符合規(guī)則的就予以放行，起訪問控制的作用，是網絡安全的第一道閘門。優(yōu)秀的防火墻甚至對高層的應用協(xié)議進行動態(tài)分析，保護進出數(shù)據(jù)應用層的安全。但防火墻的功能也有局限性。防火墻只能對進出網絡的數(shù)據(jù)進行分析，對網絡內部發(fā)生的事件完全無能為力。 　同時 , 由于防火墻處于網關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網絡性能．如果把放火防火墻比作大門警衛(wèi)的話，入侵檢測就是網絡中不間斷的攝像機，入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網絡數(shù)據(jù)，對網絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內部的惡意行為。所以說入侵檢測是網絡安全的第二道閘門，是防火墻的必要補充，構成完整的網絡安全解決方案。 參考文獻1.[美]Chris Brenton，Cameron ：電子工業(yè)出版社,2004 .，：網絡防護：,.，,：24~25. 機械工業(yè)出版社 / 200441 / 薛靜鋒等 編著，：國防工業(yè)出版社，連一峰，：，:電子工業(yè)出版社,1999致 謝短暫而美好的大學生活即將過去，在此感謝兩年以來給我?guī)椭乃欣蠋?、同學，你們對我的幫助和關懷是我這兩年的最大收獲，和你們共度美好這兩年的美好的大學生活是我的榮幸。這兩年以來，經歷過的所有事，所有人，都將是我人生一筆寶貴的財富。就要離開學校步入社會，開始我人生的又一段旅途，在這里祝福所有的老師和同學們，祝大家身體健康，工作順利。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。是狼就要練好牙，是羊就要練好腿。什么是奮斗？奮斗就是每天很難，可一年一年卻越來越容易。不奮斗就是每天都很容易，可一年一年越來越難。能干的人，不在情緒上計較，只在做事上認真；無能的人！不在做事上認真，只在情緒上計較。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻給所有努力的人.