简介
入侵防御系统(Intrusion-prevention system,简称IPS)。位于防火墙和网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)。
能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。 防火墙主要在第二到第四层起作用,它的作用 在第四到第七层一般很微弱。而防病毒软件主要在第五到第七层起作用。
功能
入侵检测系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵检测系统 的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。
入侵防御系统也像入侵检测系统一样,专门深入网络数据内部,查找它所认识的攻击代码 特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的 是,大多数入侵防御系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。
应用入侵防御系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措 施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵防御系统一般作为防火 墙和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律 上有效的证据 (forensic)。
类型
投入使用的入侵预防系统按其用途进一步可以划分为单机入侵防御系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵防御系统(NIPS: Network Intrusion Prevension System)两种类型。
网络入侵防御系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过 往包裹进行深层检查,然后确定是否放行。网络入侵防御系统藉助病毒特征和协议异常,阻止 有害代码传播。
相关技术
- 异常检测。正如入侵检测系统, 入侵防御系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
- 在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
- 有些入侵防御系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。
- 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、 中央处理器等)。入侵防御系统可以截获有害的系统请求。
- 对Library、Registry、重要文件和重要的文件夹进行防守和保护。
部署
入侵检测系统部署在服务器区域前端。
部署模式通常为网桥模式、透明模式,也有部署为路由模式。
