IPS
入侵防御系统(intrusion Prevention System简写IPS),是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监测网络或网络设备的网络资料传输行为的计算机安全设备,能够及时中断、调整、隔离一下不正常或有危害的网络资料传输行为。
早期的网络中部署的IDS联动防火墙实现网络安全,IDS发现防火墙处理,但由于一些“瞬间攻击”“SQL注入”“溢出攻击”等应用层的攻击然而无能为力,所以出现了入侵防御系统。IPS部署在不同安全等级网络之间,对数据进行深度解析,从而达到内网安全。
功能
1.入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量。
2.web安全:基于互联网web站点的挂马检测结果,结合URL信誉评估技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害。
3.流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
4.上网监管:全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频、在线炒股等网络行为。
入侵防御系统技术原理
嵌入式运行:只有嵌入模式运行的IPS设备才能够实现实时的安全防护,实时的阻拦所有可疑的数据包,并对该数据流剩余部分进行拦截。
深入分析及控制:IPS有深入分析能力,根据攻击类型,策略等来确定哪些流量应该被拦截。
入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还可以定期更新入侵特征库,并快速应用到所有传感器。
高效处理能力:IPS有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
主要类型
基于特征的IPS:是许多IPS解决方案中的常见方法,把特征加入到设备中,可识别当前最常见的攻击,也被称为模式匹配IPS。
基于异常的IPS:是基于行规的IPS,基于异常的方法可以用统计异常检测和非统计异常检测。
基于策略的IPS:更注重是否执行组织的安保策略,使用这种方法的IPS要把安全策略写入到设备中。
基于协议的IPS:与基于特征的IPS类似。但更深入的对数据包进行检查,能灵活的发现某些类型的攻击。