IPS,Intrusion Prevention System,入侵防禦系統,是可以監控、識别和(hé)阻止入侵者進入網絡的防禦系統,一種傾向于主動防護的網絡安全設施。
一、什(shén)麽是IPS
IPS是用(yòng)于實時(shí)進行檢測和(hé)阻止網絡攻擊的網絡安全設備。它主要是通過分析網絡流量中的惡意内容來(lái)阻止來(lái)自(zì)内部的、外(wài)部的不法訪問。IPS在一端口接收來(lái)自(zì)外(wài)部系統的流量,檢測并确認其中是否包含異常或可疑内容,再通過另一端口傳送到(dào)内部系統,這(zhè)樣通過IPS設備有問題的數據包就被過濾、清洗掉了(le),以此達到(dào)主動防禦的目的。IPS包括可以檢測多種類型的異常訪問,包括網絡掃描、效益攻擊、應用(yòng)程序漏洞攻擊以及惡意代碼攻擊等等,甚至于可以檢測到(dào)未授權用(yòng)戶的嘗試訪問行爲以及利用(yòng)系統漏洞獲取敏感信息及訪問權的行爲。
二、IPS的工(gōng)作(zuò)原理(lǐ)
IPS的核心技術在于衆多分工(gōng)明(míng)确的過濾器(新的攻擊手段被發現(xiàn)後,IPS會(huì)快(kuài)速創建新的過濾器),對(duì)網絡協議(yì)中的第2-7層逐層、逐字節檢查,過濾異常訪問,确保安全。IPS的技術手段包括基于簽名的監控、基于異常行爲的監控以及基于策略的監控。基于簽名的監控:該技術是将被檢測的流量與已知(zhī)的威脅簽名進行匹配,因此該方法較爲依賴“簽名庫”的完備性,且針對(duì)新型攻擊手段基本無效。基于異常行爲的監控:此方法通過将網絡活動的随機樣本與基線标準進行比較來(lái)監控異常行爲。它比基于簽名的監控更強大(dà),但(dàn)有時(shí)會(huì)産生誤報(bào)。基于策略的監控:這(zhè)種方法是企業内部自(zì)定義的安全策略,監控并阻止違反這(zhè)些(xiē)策略的網絡活動,該手段完全由企業管理(lǐ)員根據自(zì)身安全策略進行設置和(hé)配置。
三、爲什(shén)麽要用(yòng)IPS
IPS之所以成爲網絡安全防護的重要組成部分,不僅僅其可以有效防止異常活動的請(qǐng)求和(hé)訪問,更主要在于面對(duì)複雜(zá)的、時(shí)刻發起的網絡威脅,IPS的主動、自(zì)動化、自(zì)定義功能(néng),允許系統快(kuài)速響應威脅。當然,入侵防禦系統隻是網絡安全解決方案的一個組成部分,IPS通常會(huì)作(zuò)爲下(xià)一代防火牆解決方案一部分功能(néng),作(zuò)爲企業安全基礎設施的一部分,IPS 是幫助防止一些(xiē)嚴重、複雜(zá)的攻擊的關鍵方法。