多样化的攻击手段和攻击种类导致传统的网络安全设备无法单一应对这些威胁。通俗来讲，如果把防火墙比喻成防盗门，把IDS（入侵检测系统）比喻成摄像头，那么IPS（入侵防御系统）应该扮演的就是保安的角色，更多拥有的是主动性和人工智能。IPS产品的出现，为企业信息化安全提供了高效、智能的解决方案。

　　突破IPS瓶颈

　　2008年全国信息网络安全状况暨计算机病毒疫情调查结果显示，感染病毒/蠕虫/木马程序/恶意代码的用户占90.51%，遭到端口扫描、网络攻击或未授权访问（使用）网络的用户占32.12%，遭到网页被篡改的用户占16.58%。而发生过3次以上网络安全事件的用户占 46.42%。

　　不难发现，当网络攻击行为演变为一种大众化的网络方式时，多样的攻击手段可被一个操作简单、可任意下载的攻击工具集成；网络攻击的成本和门槛可变得忽略不计时，众多企业的信息化资产就无奈地处于任人宰割的危险境地，而真正危险的是，很多用户还并不知道该如何去解决。

　　早在2002年，IPS的概念就已经传入国内，当时IPS这个新型的产品形态就不断地受到挑战，而且各大安全厂商、客户都没有表现出对IPS的浓厚兴趣。 2006年是一个转折点，大量国外厂商的IPS产品进入国内市场，各本土厂商和用户也都开始重新关注起IPS这一并不新鲜的“新”概念。

　　此后，随着IPS产品日益增多，用户的选择余地也越来越大，到底什么样的IPS产品才是用户真正需要的？其实，仔细去了解用户的需求，再回顾一下网络攻击的历史和当前网络攻击的手段，就可以找到答案。

　　作为网关级产品，IPS必须具备高效网络数据通信处理性能，保证用户正常业务的带宽，同时能对网络流量中的攻击行为、带宽滥用等有害流量进行精准检测和阻断。简而言之，就是在高性能的前提下实现应用数据流的无损化保障。

　　IPS产品无论采用哪种技术，目的都是为了确保提升检测的性能和准确性，最大限度地保护用户的网络系统。从目前产品的发展来看，IPS产品的发展前景很值得期待，如果IPS产品能突破原来的一些瓶颈问题，应该能更好地解决用户的网络安全入侵问题。

　　为了突破IPS产品的性能瓶颈，厂商们采取的方法各不相同。例如，天融信的方法是在其TopIDP产品中采用RMI 8核32线程处理器的专业硬件平台，将并行多线程微码处理技术融入到其自主知识产权TOS（Topsec Operating System）系统之中。在物理多核的基础上，虚拟大量应用协议分析模块，形成先进的并行多线程微码处理架构技术体系，提高了产品的性能。而McAfee则基于ASIC的简单平台，通过提供万兆性能的网络接口，为IntruShield提供可抵御网络攻击的能力，实现集成、智能的电信级安全防护。

　　侦测应用层

　　虽然IPS产品需要高性能来满足用户的网络数据处理要求，但同时也要保证用户的网络不会受到入侵攻击，这也是IPS产品在网络安全上的价值所在。现有的IPS产品绝大部分属于单包过滤产品，他们的特点是具备高性能的处理能力，却牺牲了攻击检测阻断的准确性。

　　而当前流行的网络攻击方式和种类正逐步向网络上层延伸，攻击行为常常掩藏在七层应用的数据流中，大量的攻击数据流都封装在标准的应用协议数据流中，通过通用端口进行伪装，从而欺骗无法流重组和协议分析的IPS产品。

　　基于单个数据包检测的IPS产品更是无法有效抵御TCP流分段重叠的攻击，很多攻击行为通过TCP流分段组合即可轻松穿透这种引擎，在受保护的目标服务器上形成真正的攻击。如同蒸馏水里混合了自来水，颜色都一样，简单的目视色差分析，并不能真正解决问题。

　　这就需要IPS产品不仅应该在网络层和传输层上分析和跟踪TCP、UDP、ICMP、IP等协议，通过对这些协议的准确性校验，来判定起始流的封装。更重要的是对

　　HTTP、SMTP、POP3、FTP、TFTP、

　　SNMP、HTTPS Telnet、HTTPS、DNS、

　　RPC、LDAP、QQ、ICQ、MSN、Yahoo Messenger等多种常见应用层协议进行合法性分析。

　　据了解，天融信的TopIDP技术可以深度感知并检测流经的数据，对TCP流分段重复进行完整和合法性校验，对基于目标设备的操作系统进行准确的流重组检测。该检测引擎首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为，彻底实现了在应用层中将有害流量从正常业务中剥离。