ips是什么意思，ips详解

ips是什么意思，ips详解

一、IPS的概念

       A：串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。

B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。

C：IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际应用中的效果不显著。

这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全产品。由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。

入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。

入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。

这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。IDS的局限性是不能反击网络攻击，因为IDS传感器基于数据包嗅探技术，只能眼睁睁地看着网络信息流过。IPS可执行IDS相同的分析，因为他们可以插入网内，装在网络组件之间，而且他们可以阻止恶意活动。这是IDS和IPS之间的最大差别，如何使用具有非常重要的意义。由于IPS传感器需要流量流过，他们只能部署在网络咽喉点，而IDS传感器可以提供更广泛的网络覆盖。

IPS是通过直接嵌入到网络流量中实现主动防御的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另一个端口将它传送到内部系统中。通过这个过程，有问题的数据包以及所有来自同一数据流的后续数据包，都将在IPS设备中被清除掉。

IPS拥有众多过滤器，能够防止各种攻击。当新的攻击手段被发现后，IPS就会创建一个新的过滤器。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

a．基于特征的IPS
　　这是许多IPS解决方案中最常用的方法。把特征添加到设备中，可识别当前最常见的攻击。这就是为什么它也被称为模式匹配IPS。特征库可以添加、调整和更新，以应对新的攻击。
　　b．基于异常的IPS
　　它也被称为基于行规的IPS。它试图找出偏离工程师定义为正常的活动。基于异常的方法可以用统计异常检测和非统计异常检测。基于策略的IPS：它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS，要把安全策略写入设备之中。
　　c．基于协议分析的IPS
　　它与基于特征的方法类似。大多数情况检查常见的特征，但基于协议分析的方法可以做更深入的数据包检查，能更灵活地发现某些类型的攻击。

六、IPS技术

IPS基本上有两大主流技术，基于主机和基于网络的。
　　a．基于主机的IPS-HIPS
　　HIPS见图1所示，HIPS监视单个主机的特性和发生在主机内可疑活动的事件。HIPS的例子可以是监视有线和无线网络信息流、系统日志、运行过程、文件访问和修改、系统和应用配置的变化。大多数HIPS具有检测软件，安装在代理的主机上。每个代理监视一台主机上的活动，并执行预防行动。代理将数据传输到管理服务器。每个代理通常用于保护服务器、台式机或笔记本电脑、或者应用服务。
　　HIPS在要监视的主机上安装传感器（sensor），这会影响主机性能，因为传感器要消耗资源。

本文地址：IT问答频道 https://www.eeeoo.cn/itwenda/868395.html，嗨游网一个专业手游免费下载攻略知识分享平台，本站部分内容来自网络分享，不对内容负责，如有涉及到您的权益，请联系我们删除，谢谢！