入侵防禦 IPS 技術

2021-09-24 04:57:46 字數 2409 閱讀 8986

ips(intrusion prevention system)入侵防禦系統,是一種安全機制,通過分析網路流量,檢測入侵(包括緩衝區溢位攻擊、木馬、蠕蟲等),並通過一定的響應方式,實時地中止入侵行為,保護企業資訊系統和網路架構免受侵害。

入侵防禦是種既能發現又能阻止入侵行為的新安全防禦技術。通過檢測發現網路入侵後,能自動丟棄入侵報文或者阻斷攻擊源,從而從根本上避免攻擊行為。入侵防禦的主要優勢有如下幾點:

ids(intrusion detection system)入侵檢測系統。

總體上說,ids對那些異常的、可能是入侵行為的資料進行檢測和報警,告知使用者網路中的實時狀況,並提供相應的解決、處理方法,是一種側重於風險管理的安全功能。而入侵防禦對那些被明確判斷為攻擊行為,會對網路、資料造成危害的惡意行為進行檢測,並實時終止,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重於風險控制的安全功能。

入侵防禦技術在傳統ids的基礎上增加了強大的防禦功能:

重組應用資料

進入ips前,會先對ip分片報文重組和tcp流重組,確保應用層資料的連續性,有效檢測逃避入侵檢測的攻擊行為。

協議識別和協議解析

進入ips前,根據內容識別出多種應用層協議。識別出應用層協議偶,根據具體協議進行精細的解碼並深入提取報文特徵進行入侵檢測。

特徵匹配

將解析後的報文特徵和簽名進行匹配,如果命中了簽名則進行相應。

響應處理

完成檢測後會根據管理員配置的動作對匹配到的簽名進行響應處理。

入侵防禦簽名用來描述網路中攻擊行為的特徵,通過將資料流和入侵防禦簽名進行比較來檢測和防範攻擊。

入侵防禦簽名分為兩類:

自定義簽名

自定義簽名的動作分為阻斷和告警

自定義簽名和預定義簽名沒有優先順序,當流量同時命中自定義簽名和預定義簽名時,最終動作以最為嚴格的簽名為準。

由於裝置公升級特徵庫後會存在大量簽名,而這些簽名是沒有進行分類的,且有些簽名所包含的特徵本網路中不存在,需要設定簽名過濾器對其進行管理,並過濾出去。

簽名過濾器是滿足指定過濾條件的集合。簽名過濾器的過濾條件包括:簽名的類別、物件、協議、嚴重性、作業系統等。只有同時滿足所有過濾條件的簽名才能加入簽名過濾器中。乙個過濾條件中如果配置多個值,多個值之間是「或」的關係,只要匹配任意乙個值,就認為匹配了這個條件。

簽名過濾器的動作分為:

簽名過濾器的動作優先順序高於簽名預設動作,當簽名過濾器的動作不採用簽名預設動作時,以簽名過濾器設定的動作為準。

各簽名過濾器之間存在優先關係(按照配置順序,先配置的優先)。

由於簽名過濾器會批量過濾出簽名,且通常為了方便管理會設定為統一的動作。如果管理員需要將某些簽名設定為與簽名過濾器不同的動作時,可將這些簽名引入到例外簽名中,並單獨配置動作。

例外簽名的動作分為:

例外簽名的動作優先順序高於簽名過濾器。

入侵防禦配置檔案包含多個簽名過濾器和多個例外簽名。

當資料流命中的安全策略中包含入侵防禦配置檔案時,裝置將資料流送到入侵防禦模組,並依次匹配入侵防禦配置檔案引用的簽名。

圖:入侵防禦對資料流處理流程

簽名的實際動作由由預設動作、簽名過濾器動作和例外簽名配置的動作共同決定。

資料流命中簽名後,入侵防禦對資料流處理流程如下:

查詢簽名對應的配置檔案

判斷是否命中例外簽名,如果命中採用例外簽名的動作。

判斷是否命中簽名過濾器,如果命中採用簽名過濾器的動作。

採用簽名的預設動作。

當資料流命中多個簽名,對該資料流的處理方式如下:

當資料流命中了多個簽名過濾器時,裝置會按照優先順序最高的簽名過濾器的動作來處理。

當配置引用了入侵防禦配置檔案的安全策略時,安全策略的方向是會話發起的方向,而非攻擊流量的方向。

申請並啟用licens,載入公升級ips

ips的配置,配置ips模板,ips簽名過濾器等。

安全策略呼叫

編譯提交

是否授權,是否為最新的入侵防禦庫

配置檔案中是否配置例外簽名

安全策略是否呼叫配置檔案

配置安全策略後是否提交編譯。

入侵防禦(IPS)

入侵防禦系統 intrusion prevention system,簡稱ips 位於防火牆和網路的裝置之間,依靠對資料報的檢測進行防禦 檢查入網的資料報,確定資料報的真正用途,然後決定是否允許其進入內網 能夠監視網路或網路裝置的網路資料傳輸行為的計算機網路安全裝置,能夠即時的中斷 調整或隔離一些不...

IPS入侵防護系統

入侵防護系統分類 1 基於主機的防護系統 hips 安裝在受保護的主機系統中,通過監視核心的系統呼叫,檢測並阻擋針對本機的威脅和攻擊。2 基於網路的防護系統 nips 布置於網路出口處,一般串聯於防火牆與路由器之間,對攻擊的誤報會造成合法的通訊被阻斷,導致拒絕服務。3 應用入侵防護系統 aips 一...

十二 入侵防禦系統

入侵防禦系統 intrusion prevention system,簡稱ips 位於防火牆和網路的裝置之間,依靠對資料報的檢測進行防禦 檢查入網的資料報,確定資料報的真正用途,然後決定是否允許其進入內網 能夠監視網路或網路裝置的網路資料傳輸行為的計算機網路安全裝置,能夠即時的中斷 調整或隔離一些不...