|
|
| 入侵检测技术通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。绝大多数IDS都是被动的,而不是主动的。入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
|
|
|
| IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另一个端口将它传送到内部系统中。这样一来,有问题的数据包及所有来自同一数据流的后续数据包,都能在IPS设备中被清除。
|
|
|
| IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。
|
|
|
|
|
|
|
| (1)基于主机的入侵防护(HIPS)。通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。
|
|
|
| (2)基于网络的入侵防护(NIPS)。通过检测流经的网络流量,提供对网络系统的安全保护。
|
|
|
| (3)应用入侵防护(AIP)。把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。
|
|
|
|
|
|
|
| (1)嵌入式运行。只有以嵌入模式运行的IPS设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
|
|
|
| (2)深入分析和控制。IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
|
|
|
| (3)入侵特征库。高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
|
|
|
| (4)高效处理能力。IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
|
|
|
|
|
| IPS技术需要面对很多挑战,其中主要有3点,即单点故障、性能瓶颈、误报和漏报。
|
|
|
