入侵預防系統(tǒng)（IPS）工作原理及技術特性

　　針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則，為了確保準確性，這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進行分類時，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。

　　過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)*濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。這種硬件加速技術對于IPS具有重要意義，因為傳統(tǒng)的軟件解決方案必須串行進行過濾檢查，會導致系統(tǒng)性能大打折扣。

　　IPS技術特征

　　嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現(xiàn)實時的安全防護，實時阻攔所有可疑的數(shù)據(jù)包，并對該數(shù)據(jù)流的剩余部分進行攔截。

　　深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類型、策略等來確定哪些流量應該被攔截。

　　入侵特征庫：高質量的入侵特征庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特征庫，并快速應用到所有傳感器。

　　高效處理能力：IPS必須具有高效處理數(shù)據(jù)包的能力，對整個網(wǎng)絡性能的影響保持在最低水平。