小安：下个月中秋，你有出行计划吗？

小白：没想好呢，外出要准备检查核酸、健康码、行程码、体温……

小安：哈哈别嫌多，严格的防疫政策才能保护咱们的安全。就像严格的IPS规则，时刻保护着网络安全。

小白：什么是IPS？

小安：在网络安全行业，怎么能不知道它呢？来来，我给你说说IPS的发展史……

IPS的前世今生

IPS即入侵防御系统，它能文能武，既能实时发现又能即刻阻断各种入侵行为。自面世那天起，IPS就备受各行业用户与网络安全厂商的关注。通俗来讲，我们在电脑中会安装防火墙和杀毒软件，可以把IPS理解为传统防火墙和杀毒软件的补充，它可以更有效地防止病毒入侵。

IPS的作用原理

IPS位于传统防火墙和网络设备之间，通过对数据包的检测进行防御。它会检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网。

传统防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力；它主要在二到四层起作用，在四到七层的作用一般很微弱。IPS在这方面对传统防火墙进行补充。

IPS就像“侦察兵”，专门深入网络数据内部，查找它认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载以便事后分析。

IPS对数据流的检测流程：数据流通过IPS，首先会进行数据重组，再针对重组后的数据流进行协议识别（如http、ftp或应用层协议等），接着对其进行特征分析，分析是否存在攻击的特征动作或病毒的某种特性，根据分析结果进行策略定制，检验是否为恶意流量。如果数据流不是恶意流量，那么就将其继续转发出去；如果是恶意流量或可疑流量，那么对其进行限流甚至阻断操作。

IPS还会结合应用程序或网络传输中的异常情况，来辅助识别入侵与攻击。比如，用户或程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序的利用等现象，都属于异常情况的范畴。

总结一下：IPS会对明确判断的攻击行为、危害网络和数据的恶意行为，进行检测与防御，降低或减免用户处理异常状况的资源投入，是一种侧重于风险控制的安全产品。

IPS检测原理图

小安：明白什么是IPS了吗？

小白：清清楚楚！它就像网络中的卡口，数据流要进网就得出示“健康码”。但是，IPS检测攻击行为时，具体是怎么匹配攻击特征的呢？

小安：这个呀，等我下次再跟你详细说说……