今天，在入侵防御系统的领域中，有很多新的、有趣的发展趋势，很多领先的 IPS 解决方案已经使用了各种探测方法的组合，例如状态模式匹配、协议解码、启发式分析以及异常分析等，这样可以探测各种类型的网络、应用程序和性能的袭击。这些解决方案通常拥有基于比率和内容的保护机制。尽管这个行业已经对这些著名的技术进行了很长时间的开发，在当前和今后的一段时期内，还有两个技术值得期待：那就是IPS以及与其形成相互支持的NAC（网络访问控制）系统方案。

　　IPS

　　借助全球监测体系防范于未然

　　在犯罪事件发生之前阻止犯罪的“预防犯罪”能成为现实吗？轰动的大片“少数派报告”中，汤姆·克鲁斯主演的角色是2045年预防犯罪部的工作人员。他具有让人们“看”到发生在未来犯罪的能力，从而阻止发生在未来的犯罪。他在得到pre-cogs的警告之后，冲到了一个发生在未来的犯罪场景，在一个未来的罪犯（例如，杀人犯）实施犯罪之前将其逮捕。所以，一场真实的犯罪被阻止了。这个想法你熟悉吗？预防犯罪和防止入侵在优化方法上是类似的。当预防犯罪在犯罪发生之前预测并阻止犯罪时，入侵防御系统可以在攻击发生之前保护和发现新的漏洞。所以，入侵防御系统就像是虚拟安全世界里的“预防犯罪”，它可以在虚拟犯罪发生之前预测并阻止他们。

　　零日漏洞是一种还未有安全补丁的漏洞，很少有IPS厂商会专注于在新的漏洞被攻击之前，提供针对零日漏洞的防范，例如对新发现的微软漏洞进行防护。很多 IPS 解决方案是反应式的，也就是说，它们仅仅为已知的、比较主要的攻击进行保护过滤程序。今天一些领先的 IPS 制造商正在对零日漏洞/攻击的研究上大量地投资，并且也致力于针对这些威胁的保护性数字疫苗的开发。因为零日漏洞/攻击是可以在任何地方发生的，最聪明的 IPS 制造商和第三方合作，并且开展独立研究，以发现这些零日威胁，而不是逐个研究这些威胁本身。关于这方面行业合作的一个很好的例子是零时差项目（ZDI，www.zerodayinitiative.org，参图），他们能发现全世界的很多主要IT厂商的零日漏洞。ZDI 组织现在有六百多个成员，是现今计算机安全领域内最大的组织。在对新的系统漏洞采取了积极的发现和保护措施的情况下，领先的 IPS 厂商可以在全世界认识这些新的攻击之前阻止它们。

　　IPS + NAC

　　相互支持更安全

　　在过去的几年中，人们在大量地讨论网络访问控制（NAC）解决方案。毋庸置疑，NAC 已经成为“财富”杂志列出的世界顶尖1000家公司采用的顶尖网络安全技术。但是，很多 NAC 解决方案却经常受到各方面的挑战，例如缺乏公共标准、没有得到操作系统的广泛支持、以及端点管理的问题等等。传统的 NAC 解决方案的最大限制在于，它仅可以提供针对访问“时间点”的设备进行检查，以寻找进入某个网络的许可。一旦某个端点通过了检查并进入网络，就没有一个基于客户端的解决方案可以阻止相关联的端点在网络中发动新攻击、或第二阶段的攻击。我们最近做出的客户调查也表明，客户在使用 NAC 时面对的最大问题是它的成本太高了，在部署方面还有一些限制，NAC 的管理操作也很难，而用户登录和修复过程都十分“笨重”。

　　由于IPS 解决方案可以持续不断地监视网络流量，并且在网络攻击进入网络初时就能探测到它们，因此将领先的 IPS 技术和 NAC加以整合，这样可以提供对端点和网络的持续保护。今天最好的 NAC 解决方案可以通过自动强制执行访问政策（通过灵活支持 802.1x、DHCP 和其他“联机”的方法，以及支持上百种防病毒软件、反间谍软件和桌面防火墙软件包），而简单的安装和管理可使得成本最小化，减少 NAC 的成本和复杂性。它们实际上对用户是透明的，不需要升级网络，通过监控设备对网络的访问和使用，这些系统还提供了更佳的可视性以及报告内容。

　　小结

　　今天，领先的 IPS 解决方案可以提供作为补充的安全技术、或者与第三方厂商在安全信息管理（SIM）、网络访问控制（NAC）、网络行为异常探测（NBAD）、补丁管理、网络应用程序安全以及数据漏洞保护（DLP）等领域合作，以提供完整而全面的安全解决方案。这将是在 2008 年和以后的日子里最值得企业信息安全负责人关注的新技术。