@时光机
2年前 提问
1个回答

入侵防御系统IPS的工作原理是什么?

安全侠
2年前

入侵防御系统(IPS: Intrusion Prevention System),简称IPS。IPS技术可以检测并深度感知流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。IPS实现实时检查和阻止入侵的原理在于:

IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查除这些攻击并加以阻止。

入侵防御系统内嵌于源与目标之间网络流量的流动中,通常紧靠防火墙之后放置。入侵防御系统使用多种技术发现威胁:

  • 基于签名:这种方法将活动与为人熟知的威胁签名进行匹配。这种方法的一项弱点是它只能阻止之前发现过的攻击,无法识别新型攻击。

  • 基于异常行为:这种方法将网络活动的随机样本与基础标准进行比较,从而监控异常行为。它比基于签名的监控方法更加可靠,但有时也会生成误报。一些更新、更先进的使用人工智能和机器学习技术的入侵防御系统,支持基于异常行为的监控方法。

  • 基于策略:这种方法不如基于签名或基于异常的监控那样常用。它采用企业定义的安全策略,并阻止违反这些策略的活动。这就需要管理员设置和配置安全策略。

一旦 IPS 检测到恶意活动,就可以采取许多自动化行动,包括提醒管理员、丢弃数据包、阻止源地址的流量或重置连接。一些入侵防御系统还会使用“蜜罐”或以高价值数据作为诱饵,吸引攻击者并阻止他们接近目标。