1 概念
IPS( Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件
(Antivirus Programs)和防火墙
(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
IPS是主动防御
。
2 目的
防火墙
可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术 [1](Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。
每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件
就是通过储存所有已知的病毒特征来辨认病毒的。
在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层
起作用,它的作用在第四到第七层一般很微弱。除病毒软件主要在第五到第七层
起作用。IPS为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。
3 企业级入侵防御系统一般功能
一般能对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计,可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行主动阻断。通过对内外部用户的网络行为进行解析、记录、汇报,实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。
-
用户管理
系统提供丰富的用户认证方式以及用户同步方式,标准的树形结构用户管理方式更好的满足企业对于用户管理要求。 -
身份认证
具备丰富身份认证方式,可有效的区分用户;是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。 -
入侵防御
具有网络攻击防护、Web攻击防护、拒绝服务攻击防护、网络病毒防护、恶意URL防护五大攻击防御体系,可构建多维立体防御解决方案,达到全面高效的防御效果。 -
自定义应用
系统具备自定义应用功能,管理员可根据协议、目标端口、IP.域名等维度创建应用特征,进而针对企业应用进行审计、流量统计和控制。 -
于协议指令防护
系统对HTTP、FTP、Telnet等协议实现指令级的防护,可以阻断利用FTP、HTTP等常用协议进行网络攻击的行为。 -
丰富的报表
提供了多视角和丰富易用的报表。便于客户单位不同职责的管理员从不同视角进行管理,对安全事件、网络流量、安全日志等提供全方位的报告。 -
漏洞防御
入侵防御系统具备3000+漏洞的积累,能够抵御利用漏洞对网络发起的攻击行为。
4 IDS和IPS关系
入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理
的安全产品。
入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制
的安全产品。
IDS和IPS的关系,并非取代和互斥,而是相互协作
:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。
①IDS产品在网络中是旁路式工作;
②IPS产品在网络中是串接式工作。
5 IPS分类
单机入侵预防系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵预防系统(NIPS: Network Intrusion Prevension System)两种类型。
6 IPS 技术应用
- 入侵阻断技术与应用
- 软件白名单技术与应用
- 网络流量清洗技术与应用
- 可信计算技术与应用
- 可信计算技术应用
- 数字水印技术与应用
- 网络攻击陷阱技术原理
- 入侵容忍及系统生存技术与应用
- 隐私保护技术与应用
7 网络安全前沿技术发展动向
-
网络威胁情报服务
网络威胁情报是指有关网络信息系统遭受安全威胁的信息,主要包括安全漏洞、攻击来源IP 地址、恶意邮箱、恶意域名、攻击工具等。 -
域名服务安全保障
域名服务的常见安全风险阐述如下:
(1)域名信息篡改。(2)域名解析配置错误。 (3)域名劫持 (4)域名软件安全漏洞。 -
同态加密技术
同态加密是指一种加密函数对明文的加法和乘法运算再加密,与加密后对密文进行相应的运算,结果是等价的。