什么是IPS?
IPS是英语“Intrusion Prevention Systems”的缩写,在中文中意味着“入侵防御系统”,IPS实现实时检测和入侵阻止。
上述“网络安全”安全设备篇(2) ——IDS中提到的IDS入侵检测系统大多不是主动的而是被动的,无法在攻击实际发生之前预先发出警报。 另一方面,IPS入侵防御系统倾向于提供积极的防护,目的是预先拦截入侵活动和攻击性网络流量,避免恶意流量传输时和传输后的报警。
IPS原理
IPS发动机原理图
IPS通过直接嵌入网络流量来实现主动防御。 也就是说,在一个网络端口上接收来自外部系统的通信,检查结果确认没有异常活动或可疑内容后,通过另一个端口转发到内部系统。 此过程将清除IPS设备上与有问题的包来自同一数据流的所有后续包。
IPS有很多过滤器,可以防止各种攻击。 发现新的攻击手段后,IPS将创建新的过滤器。 流经IPS的所有分组都被分类,分类的依据是分组中的报头信息,例如源IP地址和目的IP地址、端口号和APP应用域。 每个过滤器负责分析对应的数据包。 通过检查的包可以继续前进,含有恶意内容的包将被丢弃,可疑包需要接受进一步的检查。
IPS分类
基于主机的入侵防止(HIPS ) )。
HIPS通过在主机/服务器上安装软件代理,防止网络攻击入侵操作系统和APP。 基于主机的入侵防止保护服务的安全弱点免受未经授权的人的侵害。 基于主机的入侵防范技术基于定制的安全策略和分析学习机制,阻止恶意入侵服务、主机。 HIPS可以阻止缓冲区溢出、更改登录密码、重写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,从而整体上提高了主机的安全级别。
基于网络的入侵防止(NIPS ) )。
NIPS通过检测流动的网络流量,提供网络系统的安全性。 由于采用在线连接,NIPS一旦识别出入侵行为,不仅可以重置会话,还可以删除整个网络会话。 此外,由于NIPS需要高性能以避免成为网络瓶颈,因此通常设计为交换机等网络设备,提供线速吞吐量和多个网络端口。
NIPS必须基于特定的硬件平台,才能对千兆位级网络流量提供详细的数据包检测和切断功能。 这种特定的硬件平台通常分为网络处理器(网络芯片)、专用的FPGA编程芯片和专用的ASIC芯片三种。
应用入侵防护(AIP )
NIPS产品有一种特殊的情况,称为APP入侵防止(AIP ),它将基于主机的入侵防止扩展到APP服务器前面的网络设备。 AIP被设计为位于APP数据的网络链路上的高性能设备,以确保用户遵守所设置的安全策略和服务器的安全。 NIPS在网络上运行,无论是什么特定的主机/服务器操作系统平台,都会直接检测和阻止数据包。
NIPS的实时检测和切断功能很可能出现在未来的开关中。 随着处理器性能的提高,所有级别的交换机都可能集成入侵防护功能。
IPS的作用
IPS是杀毒软件和防火墙的补充,可以有效阻止蠕虫、病毒、特洛伊木马、拒绝服务攻击、间谍软件、VOIP攻击和点对点APP应用程序的滥用。