网络安全--安全设备(三)IPS

IPS入侵防御系统

  • 一、IPS基础
    • (1)IPS是什么?
    • (2)入侵防御系统(IPS)的底层原理
    • (3)IPS工作流程
    • (4)IPS威胁防范方法
    • (6)IPS和IDS的区别
  • 二、IPS 设备分类
    • (1)IPS 设备分类
    • (2)IPS 和其他安全解决方案
  • 三、IPS在常见设备中的角色定位

一、IPS基础

(1)IPS是什么?

入侵防御系统(IPS)是一种网络安全设备,旨在监视网络流量并根据预定义的规则或策略检测和阻止可能的网络攻击。IPS可以部署在关键节点如网络边界、数据中心、云环境、边界防火墙等位置部署,以防止来自外部和内部网络的攻击。

(2)入侵防御系统(IPS)的底层原理

  1. 流量监控:IPS系统首先对网络流量进行实时监控,收集并分析网络中传输的数据包,以识别网络流量的行为特征,例如协议类型、端口号、数据包大小、源和目的地址等。

  2. 攻击检测:IPS设备使用签名数据库来比对已知的攻击模式,这些签名类似于病毒定义文件,检测可能的网络攻击行为。例如网络扫描、DDoS攻击、SQL注入攻击、漏洞利用、缓冲区溢出攻击、木马、蠕虫等等。IPS可以使用特定的签名或启发式算法来检测攻击,也可以利用机器学习等先进技术进行更复杂的分析。

  3. 攻击阻止:一旦IPS检测到潜在的攻击行为,它会立即采取行动来阻止攻击。这些措施可能包括丢弃攻击数据包、阻止攻击源地址的进一步通信等。

  4. 漏洞管理:防止攻击者利用关键漏洞进行攻击,例如Apache Struts、Drupal、远程访问、VPN、Microsoft Exchange、Microsoft SMB、操作系统、浏览器和IoT系统中的关键漏洞。IPS还可以对系统中已知的漏洞进行管理,通过修补这些漏洞来减少攻击者利用它们进行攻击的机会。

  5. 日志记录和分析:IPS系统会记录和分析网络流量和事件日志,这有助于安全团队识别网络攻击和异常行为,并提供相关的安全报告和警报。

总的来说,IPS是一种重要的网络安全工具,主要实现了防止攻击、检测网络流量、监测系统调用和文件、自动阻止攻击、提供高网络和系统安全性、辅助安全管理(IPS可以提供详细的安全事件报告和日志,辅助安全管理人员进行安全事件的分析和管理。)

(3)IPS工作流程

IPS(入侵防御系统)的工作流程通常包括以下几个关键步骤:

  1. 流量捕获:IPS系统首先需要捕获网络流量。这可以通过将IPS设备部署在网络的关键节点上实现,如网络边界、服务器前端或内部网络段。

  2. 流量分析:捕获到的流量会被IPS系统分析。这一步骤涉及到对数据包的深入检查,包括但不限于源地址、目的地址、端口号、协议类型以及负载内容。

  3. 签名匹配:IPS系统会使用预定义的攻击签名数据库与捕获到的数据包进行匹配。这些签名代表了已知的攻击模式或恶意行为。

  4. 异常检测:除了基于签名的匹配,IPS还可以使用异常检测技术来识别不符合正常网络行为模式的流量。这可能涉及到行为分析、统计分析或其他启发式方法。

  5. 攻击识别:结合签名匹配和异常检测的结果,IPS系统识别出潜在的攻击行为。

  6. 响应机制:一旦检测到攻击,IPS系统会根据预设的策略自动响应。响应措施可能包括阻断攻击流量、重定向流量、向管理员发送警报、记录事件日志等。

  7. 日志记录:所有检测到的攻击和采取的响应措施都会被记录在日志中,供安全分析师进行进一步的审查和分析。

  8. 更新和维护:为了保持IPS系统的有效性,需要定期更新攻击签名数据库和调整检测策略,以应对新的威胁和攻击技术。

  9. 报告和通知:IPS系统可以生成安全报告,并向网络管理员或安全团队发送通知,以便他们可以采取进一步的行动或进行安全审计。

  10. 策略优化:根据日志分析和安全团队的反馈,IPS的策略和规则可能会被优化,以减少误报和提高检测准确性。

整个工作流程是动态的,需要不断地调整和优化,以适应不断变化的网络威胁环境。通过这种连续的监控、分析、响应和报告过程,IPS系统能够有效地提高网络的安全性。

(4)IPS威胁防范方法

  • 阻止恶意流量
    IPS 可能会终止用户的会话、阻止特定的 IP 地址,甚至阻止发往目标的所有流量。一些 IPS 可以将流量重定向到蜜罐 (honeypot),这是一种诱饵式资产,使黑客认为他们已经成功,而实际上 SOC 正在监视他们。

  • 删除恶意内容
    IPS 可以允许流量继续,但清除危险部分,例如从流中丢弃恶意数据包或从电子邮件中删除恶意附件。

  • 触发其他安全设备
    IPS 可能会促使其他安全设备采取行动,例如更新防火墙规则以阻止威胁,或更改路由器设置以阻止黑客到达目标。

  • 执行安全政策
    某些 IPS 可以防止攻击者和未经授权的用户执行任何违反公司安全策略的行为。例如,如果用户尝试将不应离开的数据库中的敏感信息传输出去,IPS 就会阻止它们。

(6)IPS和IDS的区别

入侵检测系统(Intrusion Detection System,IDS)是入侵检测技术发展初期提出的产品形态,和入侵防御系统主要差别如下:

(1)部署方式:IDS通常采用旁路方式进行部署,并不参与数据流的转发,需要将所有所关注的流量都必须镜像到IDS端口上;而IPS通常采用直路方式串联部署在网络中,数据流需要经过IPS处理后,再进行转发。

(2)实现功能:IDS仅仅是一种检测设备,它自身并不能阻挡攻击,只能起到报警的作用,如果需要对攻击进行防御,需要与防火墙进行联动,由防火墙上的安全策略阻挡攻击行为;而IPS可以对攻击行为直接进行检测和处理,不需要其他网络设备配合。

(3)响应速度:IDS通过镜像数据流方式检测攻击行为,在检测的同时,数据流已经或者正在被网络设备转发,无论IDS通过报警或者防火墙联动方式对攻击行为进行处理,都是一种事后处理方式,对于单数据包攻击行为往往力不从心,无能为力;而IPS则是对数据包先进行安全检查,由安全检查的结果再确定数据包的处理情况,能做到及时响应和处理。

总之,IDS设备不会对入侵行为采取即使动作,是一种侧重于风险管理的安全机制。当前华为提供的专业入侵防御设备和具备入侵防御功能的防火墙,都同时具备IDS和IPS功能,管理员可根据实际组网需要进行选择。

二、IPS 设备分类

(1)IPS 设备分类

当前主流入侵防御系统有以下几种类型,可以用于不同场景的部署。包括:
(1)网络入侵防御系统(Network intrusion prevention system,NIPS),NIPS安装在网络出口,以检测所有网络流量并主动扫描威胁。

(2)主机入侵防御系统(Host intrusion prevention system,HIPS),HIPS安装在终端上即单个主机软件,仅检测该设备进出方向的流量,通常与NIPS结合使用。

(3)网络行为分析(Network behavior analysis,NBA),NBA用于分析网络流量,通过检测异常流量,发现新的恶意软件或零日漏洞。

(4)无线入侵防御系统(Wireless intrusion prevention system,WIPS),WIPS用于扫描Wi-Fi网络中是否有未经授权的访问,并从网络中删除未经授权的设备。

(2)IPS 和其他安全解决方案

虽然 IPS 可作为独立工具使用,但它们旨在与其他安全解决方案紧密集成,作为整体网络安全系统的一部分。

  • IPS 和 SIEM(安全信息和事件管理)
    IPS 警报通常会传输到组织的 SIEM,在那里它们可以与来自其他安全工具的警报和信息合并到单个集中式仪表板中。将 IPS 与 SIEM 集成,使安全团队能够通过额外的威胁情报来丰富 IPS 警报、过滤掉错误警报并跟踪 IPS 活动,以确保成功阻止威胁。SIEMS 还可以帮助 SOC 协调来自不同类型 IPS 的数据,因为许多组织使用不止一种类型的 IPS。

  • IPS 和 IDS(入侵检测系统)
    如前所述,IPS 是从 IDS 发展而来的,并且具有许多相同的功能。虽然一些组织可能使用单独的 IPS 和 IDS 解决方案,但大多数安全团队部署单一集成解决方案,提供强大的检测、日志、报告和自动威胁防护。许多 IPS 使安全团队能够关闭预防功能,从而允许它们在组织需要时充当纯粹的 IDS。

  • IPS 和防火墙
    IPS 充当防火墙后面的第二道防线。防火墙会阻止外围的恶意流量,而 IPS 会拦截任何设法突破防火墙并进入网络的流量。有些防火墙,特别是下一代防火墙,内置了 IPS 功能。

三、IPS在常见设备中的角色定位

WAF(Web应用程序防火墙) - 建筑物的入口大门保安的角色

IDS(入侵检测系统) - 建筑物内部的安全巡逻队

IPS(入侵防御系统) - 建筑物内部的监控系统和安全团队

VPN(虚拟专用网络) - 建筑物内部的隧道系统

IDS(入侵检测系统):可比作为建筑物内部的安全巡逻队。这支巡逻队定期巡逻,观察建筑物内外是否有不寻常的活动,然后报告给安全团队。它们不干预,但提供了及时的警报,就像IDS监视网络流量并生成警报,等待安全团队采取措施。

职责:IDS定期监视网络流量和系统行为,寻找不寻常的模式或活动。如果发现可疑行为,它们生成警报通知安全团队。IDS不直接阻止攻击,而是提供警报和事件记录。
作用:IDS帮助监控网络活动,发现潜在的威胁,提供信息给安全团队进行进一步的调查和响应。

IPS(入侵防御系统):类似于建筑物内部的监控系统和安全团队,监控系统会检查建筑物内部的每一个房间和走廊,以及每个人的行为。如果有人在建筑物内部做出不寻常的行为,监控系统会立即触发警报,并通知安全团队采取行动,就像IPS检测和阻止内部网络的恶意行为。

职责:IPS在网络内部监视流量和行为,检测可能的入侵和恶意活动。它能够识别恶意行为并采取主动措施来阻止攻击,如封锁攻击源或修改防火墙规则。
作用:IPS确保内部网络的安全,及时响应威胁并采取行动,防止内部系统和数据受到损害。

VPN(虚拟专用网络):相当于建筑物内部的隧道系统。它们允许远程员工或分支机构通过安全的通道直接连通到建筑物内部,就像VPN允许用户通过加密通道连接到内部网络,确保数据的机密性和完整性。

职责:VPN允许远程用户或分支机构通过加密通道安全地连接到内部网络。它加密数据传输,确保数据的机密性和完整性,并提供远程访问功能。
作用:VPN扩展了内部网络的边界,允许远程访问,同时确保数据在传输过程中得到保护,适用于远程办公和分支机构连接。

参考
https://blog.csdn.net/wt334502157/article/details/133648601?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171939366416800211546084%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=171939366416800211546084&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2alltop_click~default-2-133648601-null-null.142v100pc_search_result_base3&utm_term=ips&spm=1018.2226.3001.4187
https://www.ibm.com/cn-zh/topics/intrusion-prevention-system

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/35913.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

美团校招机试 - 小美的平衡矩阵(20240309-T1)

题目来源 美团校招笔试真题_小美的平衡矩阵 题目描述 小美拿到了一个 n * n 的矩阵,其中每个元素是 0 或者 1。 小美认为一个矩形区域是完美的,当且仅当该区域内 0 的数量恰好等于 1 的数量。 现在,小美希望你回答有多少个 i * i 的完美…

redis哨兵模式(Redis Sentinel)

哨兵模式的背景 当主服务器宕机后,需要手动把一台从服务器切换为主服务器,这就需要人工干预,费事费力,还会造成一段时间内服务不可用。这不是一种推荐的方式。 为了解决单点故障和提高系统的可用性,需要一种自动化的监…

固态硬盘与机械硬盘之间的区别

固态硬盘与机械硬盘之间有哪些方面的区别呢? 固态硬盘和机械硬盘在容量方面就有着一定的区别,固态硬盘主要是半导体存储,通常是直接存储在闪存颗粒当中,因为每个闪存颗粒的容量是有限的,所以固态硬盘的存储容量相对小一…

暑假本科生、研究生怎么学?来看详细的AI夏令营规划

Datawhale夏令营 发布:2024 AI 夏令营 学习规划 「学习内容详览」 01机器学习方向:2024/7/1~7/7 「Datawhale」邀请想入门人工智能领域并实践机器学习算法的学习者和我们一起来学习~ 详细学习规划如下: 02大模型技术方向:2024/7…

基于springboot、vue汽车租赁系统

设计技术: 开发语言:Java数据库:MySQL技术:SpringbootMybatisvue工具:IDEA、Maven、Navicat 主要功能: 用户进入系统可以查看首页、个人中心、车辆信息管理、租赁订单列表管理、还车记录管理等操作 管理…

SAP-创建预留和采购申请

METHOD zyc_ii_si_data_dump_in~si_data_dump_in. "反馈 DATA: output_hd TYPE zmmi005_dt_mesg_hd, output_body TYPE zun_dt_un_resp_msgbd_tab, output_line TYPE zun_dt_un_resp_msgbd. DATA: r_obj TYPE REF TO zun_co_si_un_resp_out, out TYPE zun_mt_un_resp. * T…

串级PID控制算原理及法详解

文章目录 1. PID 2. 串级PID 3. 串级PID的物理量 4. C语言实现单极PID 5. C语言实现串极PID 6. 模拟仿真 1. PID PID是应用最广泛的闭环控制方法之一,是一种常用的反馈控制方法,对于每个PID控制器由三个部分组成:比例控制(…

自然语言处理——英文文本预处理

高质量数据的重要性 数据的质量直接影响模型的性能和准确性。高质量的数据可以显著提升模型的学习效果,帮助模型更准确地识别模式、进行预测和决策。具体原因包括以下几点: 噪音减少:高质量的数据经过清理,减少了无关或错误信息…

Wp-scan一键扫描wordpress网页(KALI工具系列三十)

目录 1、KALI LINUX 简介 2、Wp-scan工具简介 3、信息收集 3.1 目标IP(服务器) 3.2kali的IP 4、操作实例 4.1 基本扫描 4.2 扫描已知漏洞 4.3 扫描目标主题 4.4 列出用户 4.5 输出扫描文件 4.6 输出详细结果 5、总结 1、KALI LINUX 简介 Kali Linux 是一…

《梦醒蝶飞:释放Excel函数与公式的力量》6.1 DATE函数

6.1 DATE函数 第一节:DATE函数 1)DATE函数概述 DATE函数是Excel中的一个内置函数,用于根据指定的年、月、日返回对应的日期序列号。这个函数非常有用,尤其是在处理日期数据时,它可以帮助你构建特定的日期&#xff0…

pycharm工具回退键调出

pycharm工具调出回退键。 View->Appearance->Toolbar,即可调出 调不出的可以使用快捷键:ctrlalt向左箭头 但是这个快捷键容易和电脑屏幕旋转冲突。可将电脑的快捷键关掉,即可。 ctrlalt向上箭头:将屏幕旋转到正常(横向&am…

【面试干货】final、finalize 和 finally 的区别

【面试干货】final、finalize 和 finally 的区别 1、final1.1 修饰类1.2 修饰方法1.3 修饰变量 2、finally3、finalize4、总结 💖The Begin💖点点关注,收藏不迷路💖 在Java编程语言中,final、finalize和finally都是关键…

汽车免拆诊断案例 | 2016 款吉利帝豪EV车无法加速

故障现象 一辆2016款吉利帝豪EV车,累计行驶里程约为28.4万km,车主反映车辆无法加速。 故障诊断 接车后路试,行驶约1 km,踩下加速踏板,无法加速,车速为20 km/h左右,同时组合仪表上的电机及控制…

设备驱动框架之LED

文章目录 前言一、什么是驱动框架二、使用步骤1.注册LED设备2.卸载LED设备3.内核中申请内存4.container_of5.platform_get_drvdata 和 platform_set_drvdata6.module_platform_driver 三、驱动示例总结 前言 为了尽量降低驱动开发者难度以及接口标准化,就出现了设备…

面试-Java线程池

1.利用Excutors创建不同的线程池满足不同场景的需求 分析: 如果并发的请求的数量非常多,但每个线程执行的时间非常短,这样就会频繁的创建和销毁线程。如此一来,会大大降低系统的效率。 可能出现,服务器在为每个线程创建…

Docker创建容器时提示 [Warning] IPv4 forwarding is disabled. Networking will not work.

解决办法 1. 在docker的宿主机中更改以下文件: [rootlocalhost ~]# vi /usr/lib/sysctl.d/00-system.conf2. 添加如下代码: net.ipv4.ip_forward13. 重启network服务: systemctl restart network

Lua 垃圾回收

Lua 垃圾回收 Lua 是一种轻量级的编程语言,广泛用于游戏开发、脚本编写和其他应用程序。Lua 的设计哲学是简单和高效,这同样体现在它的内存管理机制中。在 Lua 中,垃圾回收(Garbage Collection,简称 GC)是…

利用powershell开展网络钓鱼

要确保人们打开我们的恶意文件并执行它们,我们只需让微软努力工作多年来赢得人们的信任,然后将一些危险的宏插入到幻灯片中。 本博文将介绍如何通过屏幕顶部的一个友好的警告提示,在用户启用宏后立即运行您的宏。 首先,我们需要打…

【面向对象】复习(四)

const构不构成重载 C 加const能不能构成重载的几种情况_多个const修饰可以重载吗-CSDN博客

如何在Java中实现并发编程,包括锁机制、线程池等。

在Java中实现并发编程有很多种方式,包括使用锁机制、线程池等。以下是一些基本的步骤和代码示例: 1. **锁机制**:Java提供了多种锁机制,包括ReentrantLock,synchronized关键字等。ReentrantLock是一个可重入的锁&…