入侵防范
互聯網的安全已經成了重中之重的問題,面對著可能遭到的各種攻擊。繼互聯網防火墻、入侵檢測IDS系統后,又出現了入侵防御IPS系統。那么究竟入侵防御IPS系統為何物呢?它又是如何分類和應用的呢?本次的基礎知識小貼士就為您講述究竟何謂入侵防御IPS系統。
入侵防御IPS系統(IPS: Intrusion Prevention System)是電腦網路安全設施,是對防病毒軟件(Antivirus Programs)和防火墻(Packet Filter, Application Gateway)的補充。 入侵防御IPS系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
隨著電腦的廣泛應用和網路的不斷普及,來自網路內部和外部的危險和犯罪也日益增多。20年前,電腦病毒(電腦病毒)主要通過軟盤傳播。后來,用戶打開帶有病毒的電子信函附件,就可以觸發附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟體的開發商有足夠的時間從容研究病毒,開發防病毒、殺病毒軟體。而今天,不僅病毒數量劇增,質量提高,而且通過網路快速傳播,在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態,使防毒軟體失效。
網路入侵方式越來越多,有的充分利用防火墻放行許可,有的則使防毒軟體失效。比如,在病毒剛進入網路的時候,還沒有一個廠家迅速開發出相應的辨認和撲滅程序,于是這種全新的病毒就很快大肆擴散、肆虐于網路、危害單機或網路資源,這就是所謂Zero Day Attack。
入侵防御IPS系統也像入侵偵查系統一樣,專門深入網路數據內部,查找它所認識的攻擊代碼特征,過濾有害數據流,丟棄有害數據包,并進行記載,以便事后分析。除此之外,更重要的是,大多數入侵防御IPS系統同時結合考慮應用程序或網路傳輸中的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。入侵防御IPS系統雖然也考慮已知病毒特征,但是它并不僅僅依賴于已知病毒特征。
應用入侵防御IPS系統的目的在于及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵防御IPS系統一般作為防火墻和防病毒軟體的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據。
網路入侵防御IPS系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過往包裹進行深層檢查,然后確定是否放行。網路入侵防御IPS系統藉助病毒特征和協議異常,阻止有害代碼傳播。有一些網路入侵防御IPS系統還能夠跟蹤和標記對可疑代碼的回答,然后,看誰使用這些回答信息而請求連接,這樣就能更好地確認發生了入侵事件。
根據有害代碼通常潛伏于正常程序代碼中間、伺機運行的特點,單機入侵防御IPS系統監視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業系統發出請求指令,改寫系統文件,建立對外連接時,進行有效阻止,從而保護網路中重要的單個機器設備,如伺服器、路由器、防火墻等等。這時,它不需要求助于已知病毒特征和事先設定的安全規則。總地來說,單機入侵防御IPS系統能使大部分鉆空子行為無法得逞。我們知道,入侵是指有害代碼首先到達目的地,然后干壞事。然而,即使它僥幸突破防火墻等各種防線,得以到達目的地,但是由于有了入侵防御IPS系統,有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。