簡介
入侵防御系統(Intrusion-prevention system,簡稱IPS)。位於防火牆和網絡的設備之間,依靠對數據包的檢測進行防御(檢查入網的數據包,確定數據包的真正用途,然后決定是否允許其進入內網)。
能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
防火牆可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。IPS是對防火牆的補充。 防火牆主要在第二到第四層起作用,它的作用 在第四到第七層一般很微弱。而防病毒軟件主要在第五到第七層起作用。
功能
入侵檢測系統在發現異常情況后及時向網路安全管理人員或防火牆系統發出警報。隨后應運而生的入侵響應系統(IRS: Intrusion Response Systems) 作為對入侵檢測系統 的補充能夠在發現入侵時,迅速作出反應,並自動采取阻止措施。
入侵防御系統也像入侵檢測系統一樣,專門深入網絡數據內部,查找它所認識的攻擊代碼 特征,過濾有害數據流,丟棄有害數據包,並進行記載,以便事后分析。除此之外,更重要的 是,大多數入侵防御系統同時結合考慮應用程序或網路傳輸中的異常情況,來輔助識別入侵和攻擊。
應用入侵防御系統的目的在於及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措 施,先期阻止入侵,防患於未然。或者至少使其危害性充分降低。入侵防御系統一般作為防火 牆和防病毒軟件的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律 上有效的證據 (forensic)。
類型
投入使用的入侵預防系統按其用途進一步可以划分為單機入侵防御系統(HIPS: Hostbased Intrusion Prevension System)和網絡入侵防御系統(NIPS: Network Intrusion Prevension System)兩種類型。
網絡入侵防御系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過 往包裹進行深層檢查,然后確定是否放行。網絡入侵防御系統藉助病毒特征和協議異常,阻止 有害代碼傳播。
相關技術
- 異常檢測。正如入侵檢測系統, 入侵防御系統知道正常數據以及數據之間關系的通常的樣子,可以對照識別異常。
- 在遇到動態代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時,先把它們放在沙盤內,觀察其行為動向,如果發現有可疑情況,則停止傳輸,禁止執行。
- 有些入侵防御系統結合協議異常、傳輸異常和特征偵查,對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。
- 核心基礎上的防護機制。用戶程序通過系統指令享用資源 (如存儲區、輸入輸出設備、 中央處理器等)。入侵防御系統可以截獲有害的系統請求。
- 對Library、Registry、重要文件和重要的文件夾進行防守和保護。
部署
入侵檢測系統部署在服務器區域前端。
部署模式通常為網橋模式、透明模式,也有部署為路由模式。
