入侵防御系统(IPS)是电脑网络安全设施,是对防病毒软件和防火墙的补充。 入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

入侵防御系统 intrusion prevention system

概念

( Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

网络安全

随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。20 年前,电脑病毒主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。

目前流行的攻击程序和有害代码如 DoS (Denial of Service 拒绝服务),DDoS (Distributed DoS 分布式拒绝服务),暴力拆解(Brut-Force-Attack),端口扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。

网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网络的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网络、危害单机或网络资源,这就是所谓 Zero Day Attack。

防火墙可以根据 IP 地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法 IP 地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了 DPI 技术(Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。

每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。

在 ISO/OSI 网络层次模型(见 OSI 模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。

入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网络传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

产生原因

A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。

B:旁路部署的 IDS 可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。

C:IDS 和防火墙联动:通过 IDS 来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如 SQL 注入、溢出攻击等),使得 IDS 与防火墙联动在实际应用中的效果不显著。

这就是 IPS 产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是 IDS 的作用。

入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。

入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。

这也解释了 IDS 和 IPS 的关系,并非取代和互斥,而是相互协作:没有部署 IDS 的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过 IDS 的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS 等)。

入侵预防技术

* 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。

* 在遇到动态代码(ActiveX, JavaApplet,各种指令语言 script languages 等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。

* 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网络内部的有害代码实行有效阻止。

* 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。

* 对 Library、Registry、重要文件和重要的文件夹进行防守和保护。

系统类型

投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统

(HIPS: Hostbased Intrusion Prevension System)和网络入侵预防系统

(NIPS: Network Intrusion Prevension System)两种类型。

网络入侵预防系统作为网络之间或网络组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网络入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网络入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。

根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如 Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网络中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。

2000 年:Network ICE 公司在 2000 年 9 月 18 日推出了业界第一款 IPS 产品—BlackICE Guard,它第一次把基于旁路检测的 IDS 技术用于在线模式,直接分析网络流量,并把恶意包丢弃。  2002~2003 年:这段时期 IPS 得到了快速发展。当时随着产品的不断发展和市场的认可,欧美一些安全大公司通过收购小公司的方式获得 IPS 技术,推出自己的 IPS 产品。比如 ISS 公司收购 Network ICE 公司,发布了 Proventia;NetScreen 公司收购 OneSecure 公司,推出 NetScreen-IDP;McAfee 公司收购 Intruvert 公司,推出 IntruShield。思科、赛门铁克、TippingPoint 等公司也发布了 IPS 产品。

2005 年 9 月绿盟科技发布国内第一款拥有完全自主知识产权的 IPS 产品,2007 年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、OEM 等多种方式发布各自的 IPS 产品。

评价

针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS 等混合威胁及黑客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性和可用性。

一款优秀的网络入侵防护系统应该具备以下特征:

●满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;

●提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力,在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;

●准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;

●全面、精细的流量控制功能,确保企业关键业务持续稳定运转;

●具备丰富的高可用性,提供 BYPASS(硬件、软件)和 HA 等可靠性保障措施;

●可扩展的多链路 IPS 防护能力,避免不必要的重复安全投资;

●提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户需要;

●支持分级部署、集中管理,满足不同规模网络的使用和管理需求。

产品示例

网络入侵防护系统是网络入侵防护系统同类产品中的精品典范,该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的 Web 信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。

入侵防护

实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。

Web 安全

基于互联网 Web 站点的挂马检测结果,结合 URL 信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截 Web 威胁。

流量控制

阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业 IT 产出率和收益率。

上网监管

全面监测和管理 IM 即时通讯、P2P 下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。

0个人收藏 收藏

评论交流

泪雪默认头像 请「登录」后参与评论
  1. 加载中..

相关推荐

  • OPNsense

    OPNsense,开源的防火墙及软路由系统

    OPNsense是基于FreeBSD的开源防火墙和路由软件系统,也是pfSense的一个分支。提供高级防火墙、VPN和路由功能。它以其高度的可定制性、现代直观的用户界面和强大的安全性著称。支持各种硬件和网络规模,适合从家庭到企业级用户。
  • CDN

    CDN如何帮助网站应对流量峰值

    CDN(内容分发网络)通过将内容分散在全球范围内的服务器上,帮助网站应对流量峰值,提升访问速度,确保用户体验。它通过缓存内容、负载均衡、实时监控和增强安全性(如DDoS攻击防护)来实现这一点。CDN不仅优化性能,还有助于降低原始服务器的压力和运营成本,是应对网站流量激增的有效解决方案。
  • f 反向代理 Reverse Proxy

    反向代理如何提高安全防护

    反向代理在网络安全中扮演关键角色,通过隐藏服务器身份、执行负载均衡、SSL终结、WAF等功能提高安全性。实施反向代理需要选择适当软件、配置安全策略、使用SSL/TLS加密,以及定期更新和维护。
  • ZimaBoard 软路由

    如何在软路由上部署IDS/IPS来增强网络安全

    软路由上部署IDS/IPS可以有效增强网络安全。软路由的灵活性使其成为安装IDS/IPS的理想平台。用户可选择如pfSense或OpenWRT等系统,并安装如Suricata或Snort的插件。配置后,规则库需要定期更新以对抗新威胁。
  • DNS hijacking 劫持

    DNS隧道是什么

    DNS隧道是一种网络攻击技术,黑客通过嵌入恶意数据在DNS查询和响应中,绕过传统网络安全措施,进行数据泄露、命令和控制等恶意活动。检测DNS隧道可通过流量分析、域名黑名单、数据包检查和DNSSEC等方法。
  • IP 欺骗 ip spoofing

    什么是IP欺骗

    IP欺骗是一种攻击技术,攻击者通过伪装、修改或控制网络数据包中的IP地址,使其看起来来自不同的地址,从而达到隐藏真实身份、窃取信息或绕过安全措施的目的。IP欺骗可以通过多种方式实现,其中常见的包括ARP欺骗、IP源地址伪造和IP地址冒充等。