|
知识路径: > 网络安全 > 入侵防护系统 >
|
相关知识点:3个
|
|
|
|
IPS可分为基于主机的入侵防护、基于网络的入侵防护和基于应用入侵防护。
|
|
|
|
基于主机的入侵防护是一种软件,位于一台服务器上,并能够阻止网络攻击,保护操作系统和应用。Okena和Entercept Security Technologies的产品在保护服务器,尤其是针对红色代码以及Nimda攻击非常有效。基于主机的入侵防护是快速修复服务器安全漏洞的好办法,但是由于在企业内部很多不同的平台上管理安全软件的管理费用非常昂贵,基于主机的入侵防护系统将很难和基于网络的入侵防护一样得到广泛的采用。
|
|
|
基于主机的入侵防护技术可以采用基于事先确定的规则或可学习的行为分析策略来阻挡恶意服务器或PC行为。基于主机的入侵防护可以阻止攻击者进行缓存溢出攻击、修改注册表,改写DLL(Dynamic Link Library,动态链接库)或采用其他的方法获得操作系统的控制权。
|
|
|
基于主机的入侵防护可以作为截取应用和底层操作系统之间通信的软件“过滤器”,或作为一个核心更改,比商业操作系统所采用的安全控制更加严格。
|
|
|
|
基于网络的入侵防护系统的优势包括减少了持续监控的重要性,攻击不会造成尖声警报,局面混乱的结果。网络管理员知道红色代码攻击已经成为互联网中的家常便饭。因此,记录这样的攻击并对其做出反应的时间只是浪费。一旦被确认,仅仅是受到影响的任务应该被停止。因此这样做不但节省了宝贵的资源,还达到了更好的保护效果。特性定义和网络入侵防护的好处在于:
|
|
|
防火墙和网关反病毒系统是第一代基于网络的入侵防护系统的代表。但是防火墙基本上都运行在网络协议层,反病毒系统绝大部分执行简单的、应激性的(也就是说不是实时的),基于签名的防护和阻挡。
|
|
|
|
|
|
(3)对于数据包采用基于集中方法的规则,包括(起码)协议异常分析,签名分析和行为分析。
|
|
|
|
为了达到上面的要求,基于网络的入侵防护必须完成对于所有的通信进行深度包检测,并通常会采用特殊目的的硬件来达到千兆级的吞吐量。在服务器上使用软件的方法对于小型企业来说是有效的,基于硬件的方法对于大型企业来说会更合适。但是,对于以千兆速度运行的复杂的网络,Gartner相信将需要特殊应用集成电路和专用网络安全处理器来进行深度包检测,并支持线速阻挡。
|
|
|
|
应用入侵防护(Application Intrusion Prevention,AIP)把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。
|
|
|
|
IPS技术特征包括嵌入式运行、深入分析和控制、入侵特征库和高效处理能力。
|
|
|
(1)嵌入式运行:只有以嵌入模式运行的IPS设备才能实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
|
|
|
(2)深入分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
|
|
|
(3)入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
|
|
|
(4)高效处理能力:IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
|
|
|