IPS 入侵防御系统

IPS（入侵防御系统）

入侵防御系统(IPS: Intrusion Prevention System)是计算机网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

中文名：入侵防御系统提出时间：2010年

外文名：Intrusion Prevention System 应用学科：计算机

表达式：黑客、木马、病毒适用领域范围：全球

1IPS (Intrusion Prevention System)

IPS（Intrusion Prevention System）是计算机网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙（Packet Filter, Application Gateway）的补充。入侵防御系统（Intrusion Prevention system）是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

网络安全

随着电脑的广泛应用和网络的不断普及，来自网络内部和外部的危险和犯罪也日益增多。20年前，电脑病毒(电脑病毒)主要通过软盘传播。后来，用户打开带有病毒的电子信函附件，就可以触发附件所带的病毒。以前，病毒的扩散比较慢，防毒软体的开发商有足够的时间从容研究病毒，开发防病毒、杀病毒软件。而今天，不仅病毒数量剧增，质量提高，而且通过网络快速传播，在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态，使防毒软件失效。

目前流行的攻击程序和有害代码如DoS （Denial of Service 拒绝服务)，DDoS

(Distributed DoS 分布式拒绝服务)，暴力猜解(Brut-Force-Attack)，端口扫描(Portscan)，嗅探，病毒，蠕虫，垃圾邮件，木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事，让人防不胜防。

网络入侵方式越来越多，有的充分利用防火墙放行许可，有的则使防毒软件失效。比如，在病毒刚进入网路的时候，还没有一个厂家迅速开发出相应的辨认和扑灭程序，于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网络资源，这就是所谓Zero Day Attack。

防火墙可以根据IP地址（IP-Addresses）或服务端口（Ports）过滤数据包。但是，它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术（Deep Packet Inspection 深度包检测技术），其本身也面临着许多挑战。

每种攻击代码都具有只属于它自己的特征(signature), 病毒之间通过各自不同的特征互相区别，同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。

在ISO/OSI网络层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而防病毒软件主要在第五到第七层起作用。为了弥补防火墙和防病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵检测系统(IDS: Intrusion Detection System）投入使用。入侵检测系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵检测系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵防御系统则作为二者的进一步发展，汲取了二者的长处。

入侵防御系统也像入侵检测系统一样，专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵防御系统同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被

利用等等现象。入侵防御系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

应用入侵防御系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵防御系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据(forensic)。

产生原因

A：串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。

B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。

C：IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际应用中的效果不显著。

这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全产品。由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。

入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。

入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。

这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。

入侵预防技术