网络管理员教程精讲之IPS
ips的原理及应用前景
IPS的原理及应用前景1. 什么是IPS?入侵防御系统(Intrusion Prevention System,简称IPS)是一种用于保护计算机网络和系统安全的技术。
IPS可以监控网络流量和系统活动,识别和阻止恶意行为,并提供对网络和系统的保护。
2. IPS的原理IPS的工作原理通常可以分为以下几个步骤:2.1 监控IPS会监控网络流量和系统活动,通过检测和分析网络数据包和系统日志来了解网络和系统的安全状态。
2.2 检测IPS使用各种检测技术来识别潜在的入侵行为,例如:•签名检测:通过与已知恶意软件和攻击的特征进行匹配,来发现已知攻击。
•异常检测:通过分析系统和网络的正常行为,来识别异常活动。
•行为分析:通过建立和学习正常用户行为模式,来发现异常和可疑的行为。
2.3 阻止一旦IPS发现入侵行为,它会采取措施来阻止攻击。
这些措施可以包括:•阻断源IP地址或目标IP地址。
•打开或关闭端口。
•生成警报并将其发送给安全管理员。
2.4 日志和报告IPS会记录所有检测到的入侵事件,并生成日志和报告。
这些日志和报告可以用于安全审计、追溯攻击来源以及改进安全策略。
3. IPS的应用前景随着网络攻击的日益增加和威胁日益复杂,IPS在保护网络和系统安全方面的应用前景非常广泛。
3.1 保护企业网络IPS可以帮助企业保护其内部网络免受各种网络威胁的侵害。
它可以及时识别和阻止恶意软件、网络蠕虫、DoS(拒绝服务)攻击等常见的网络攻击,保护企业的重要数据和机密信息。
3.2 防止数据泄露IPS可以监控和阻止内部用户通过网络传输敏感数据或机密信息。
它可以检测并阻止未经授权的数据传输、文件共享等活动,从而有效防止数据泄露。
3.3 保护云应用和虚拟化环境随着云计算和虚拟化的普及,IPS在保护云应用和虚拟化环境方面的需求也越来越大。
IPS可以帮助云提供商和虚拟化环境提供商保护其基础设施、用户数据和虚拟机安全,防止恶意攻击和数据泄露。
网络入侵检测系统(IDS)与入侵防御系统(IPS)的原理与配置
网络入侵检测系统(IDS)与入侵防御系统(IPS)的原理与配置网络入侵检测系统(Intrusion Detection System,简称IDS)和入侵防御系统(Intrusion Prevention System,简称IPS)是当今信息安全领域中非常重要的工具。
它们能够帮助组织监测和防御网络中的恶意活动,保护机密信息和系统资源的安全。
本文将介绍IDS和IPS的原理和配置。
一、网络入侵检测系统(IDS)的原理与配置网络入侵检测系统(IDS)是用于监测网络中的入侵行为,并及时发出警报的一种安全设备。
它根据事先定义好的规则、签名和行为模式,对网络中的恶意活动进行监控和分析。
以下是IDS的工作原理及配置要点:1. IDS的工作原理IDS通常分为两种类型:主机型IDS和网络型IDS。
主机型IDS安装在每台主机上,通过监控主机上的日志文件和系统活动,来识别入侵行为。
而网络型IDS则安装在整个网络中,监控网络流量并检测异常行为。
IDS的工作过程一般包括以下几个步骤:a. 数据收集:IDS通过网络捕获数据包或者获取主机日志,用于后续的分析。
b. 数据分析:IDS通过事先定义好的规则和行为模式,对收集到的数据进行分析和比对,以识别潜在的入侵行为。
c. 报警通知:当IDS检测到入侵行为时,会向管理员发送警报通知,以便及时采取应对措施。
2. IDS的配置要点在配置IDS时,需要注意以下几个要点:a. 硬件和软件选择:根据网络规模和安全需求选择适当的IDS设备和软件。
常见的商业IDS产品包括Snort、Suricata等,也可以选择开源的IDS方案。
b. 规则和签名管理:定义合适的规则和签名,以适应组织的网络环境和威胁情况。
规则和签名的更新也是一个重要的工作,需要及时跟踪最新的威胁情报。
c. IDS的部署位置:根据网络拓扑和安全要求,选择合适的位置部署IDS。
常见的部署方式包括加入网络的边界、服务器集群等。
二、入侵防御系统(IPS)的原理与配置入侵防御系统(IPS)是在IDS的基础上增加了防御措施的网络安全设备。
ips安全管理方案
IPS安全管理方案1. 引言网络安全是当今互联网时代必不可少的一部分。
针对日益增多的网络攻击威胁,企业和组织需要采取有效的安全措施来保护其网络环境和敏感数据。
其中,入侵预防系统(Intrusion Prevention System,简称IPS)是网络安全防护的重要组成部分。
本文将介绍IPS的基本概念、原理以及在企业环境中的安全管理方案。
2. IPS概述入侵预防系统(Intrusion Prevention System)是一种网络安全设备,旨在监控网络流量、检测并阻止恶意活动。
它结合了入侵检测系统(Intrusion Detection System,简称IDS)和防火墙的功能,能够实时检测和阻止各种网络攻击,包括恶意软件、漏洞利用和DoS(拒绝服务)攻击等。
IPS通过对网络流量进行实时分析,识别出潜在的入侵行为,并采取相应的措施进行防御。
这些措施可以包括阻塞恶意IP地址、断开恶意连接以及生成警报等。
通过及时响应和主动防御,IPS能够有效减小网络安全漏洞带来的潜在风险。
3. IPS的工作原理IPS通过以下几个步骤来实现其入侵检测和预防功能:3.1 网络流量监控IPS对网络流量进行持续监控,包括网络中的数据包和会话。
它可以分析数据包的源IP地址、目的IP地址、端口、协议等信息,同时也可以跟踪会话的状态和流量模式。
3.2 策略匹配IPS根据预先设定的安全策略进行匹配,以确定是否存在潜在的入侵行为。
这些策略可以包括特定协议的规则、漏洞特征、恶意软件的行为等。
3.3 检测与分析当匹配到潜在的入侵行为时,IPS将对其进行进一步的检测和分析。
这可以包括与已知攻击签名的比对、行为模式的分析以及异常流量的检测等。
通过这些方法,IPS能够辨别出是否存在实际的攻击行为。
3.4 阻断与响应一旦确认存在入侵行为,IPS将采取相应的阻断措施,以防止攻击继续扩散和造成更大的损失。
这可以包括断开攻击者与目标之间的连接、封禁恶意IP地址、抑制恶意软件的运行等。
网络信息安全防护中的入侵检测系统(IDS)与入侵防御系统(IPS)
网络信息安全防护中的入侵检测系统(IDS)与入侵防御系统(IPS)网络信息安全是当今社会中一个非常重要的议题。
随着互联网的快速发展,人们的网络活动越来越频繁,同时也给网络安全带来了更大的挑战。
入侵检测系统(Intrusion Detection System,简称IDS)与入侵防御系统(Intrusion Prevention System,简称IPS)是网络信息安全防护中两个重要的组成部分。
一、入侵检测系统(IDS)入侵检测系统(IDS)是一种用于监控网络流量并识别潜在的入侵行为的工具。
它通过分析和检测网络流量中的异常活动来判断是否存在安全漏洞或者攻击行为。
入侵检测系统可以分为主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)两种类型。
主机入侵检测系统(Host-based IDS)主要针对单一主机进行监测和防御,它通过监控主机的操作系统、应用程序和系统日志等信息来检测潜在的入侵行为。
主机入侵检测系统可以及时发现主机上的异常行为并向管理员报警,从而加强对主机的安全保护。
网络入侵检测系统(Network-based IDS)则是在网络层面对整个网络进行监控和防御。
它通过监听网络流量,分析和检测网络中的恶意行为或异常活动。
网络入侵检测系统可以对网络入侵进行实时监测和识别,从而提高网络的安全性。
二、入侵防御系统(IPS)入侵防御系统(IPS)是在入侵检测系统的基础上进一步发展而来的。
与入侵检测系统相比,入侵防御系统不仅可以监测和检测网络中的入侵行为,还可以主动地采取措施来阻止攻击行为。
入侵防御系统可以对检测到的入侵行为进行实时响应,并对攻击行为进行阻断和防御,从而保护网络的安全。
入侵防御系统可以分为网络入侵防御系统(Network-based IPS)和主机入侵防御系统(Host-based IPS)两种类型。
网络入侵防御系统(Network-based IPS)主要通过在网络中插入防火墙等设备,对网络流量进行实时监控和分析,当检测到潜在的攻击行为时,可以及时采取相应的防御措施,比如阻断恶意的网络连接,保护网络的安全。
ips 原理
ips 原理IPS原理。
IPS全称为入侵防御系统(Intrusion Prevention System),是一种用于检测和阻止网络中恶意活动的安全设备。
它可以帮助网络管理员保护其网络免受各种网络攻击和威胁,包括病毒、蠕虫、木马、DoS攻击等。
IPS原理是如何实现的呢?接下来我们将详细介绍。
首先,IPS通过实时监控网络流量来检测潜在的入侵行为。
它可以分析网络数据包的内容和特征,以确定是否存在恶意活动。
一旦发现异常行为,IPS会立即采取措施来阻止这些活动,从而保护网络的安全。
其次,IPS还可以通过使用特定的规则和签名来识别已知的威胁和攻击。
这些规则和签名可以帮助IPS快速准确地识别恶意流量,并采取相应的防御措施。
此外,IPS还可以根据最新的威胁情报和漏洞信息进行更新,以确保及时发现和阻止新型的网络攻击。
另外,IPS还可以结合使用各种技术和方法来检测和防御入侵。
例如,它可以使用基于特征的检测、行为分析、协议分析等技术来全面地监控和保护网络。
这些技术的结合可以使IPS更加全面地检测和阻止各种类型的入侵行为。
此外,IPS还可以与其他安全设备和系统进行集成,以提高整个网络的安全性。
它可以与防火墙、IDS(入侵检测系统)等设备协同工作,共同构建多层防御体系,从而提供更加全面和强大的安全保护。
总的来说,IPS原理是通过实时监控网络流量、使用规则和签名识别威胁、结合多种技术检测和防御入侵,以及与其他安全设备集成共同保护网络安全。
通过这些原理的应用,IPS可以帮助网络管理员及时有效地发现和阻止各种网络威胁和攻击,保护网络的安全和稳定运行。
在网络安全日益受到重视的今天,IPS作为一种重要的安全设备,其原理和工作方式显得尤为重要。
只有深入理解IPS的原理,才能更好地利用它来保护网络安全,防范各种网络威胁和攻击。
希望本文对IPS原理有一个清晰的介绍,能够帮助读者更好地理解和应用这一重要的网络安全技术。
ips技术
IPS技术什么是IPS技术IPS(Intrusion Prevention System)技术是一种网络安全技术,用于检测和阻止网络中的入侵行为。
它是建立在网络防火墙技术基础上的一种主动防御手段,通过监控网络通信流量并对其中的异常行为进行分析和处理,有效防止来自内部或外部的网络攻击,保护企业网络和用户数据的安全。
IPS技术的原理IPS技术主要通过以下几个方面来实现对网络入侵的防御:流量监控IPS系统通过对网络流量进行实时监控,收集和分析网络数据包。
它可以准确识别和记录网络中的异常流量,包括恶意软件、攻击行为和漏洞利用等。
攻击检测IPS系统内置了丰富的攻击特征库和规则集,通过与这些特征进行匹配,可以快速检测到网络中的各种攻击行为,例如端口扫描、拒绝服务攻击和SQL注入等。
异常行为分析除了基于特征的检测,IPS系统还可以对网络流量进行行为分析。
它通过学习正常网络流量的行为模式,当检测到与这些模式明显不符的行为时,可以判定为异常行为并采取相应的防御措施。
实时响应当IPS系统检测到网络入侵行为时,它可以立即采取相应的防御措施,例如封锁恶意IP地址、中断异常网络连接和禁用漏洞服务等。
这些实时响应操作可以有效遏制网络攻击,防止进一步损害。
IPS技术的优势相比传统的防火墙技术,IPS技术具有以下几个明显优势:1.主动防御:IPS技术能够主动检测和阻止网络入侵行为,而不仅限于简单的流量过滤。
它能够有效应对新型的攻击方式和未知的安全漏洞。
2.精确检测:IPS系统通过匹配攻击特征和行为分析,可以准确识别和记录各种网络攻击行为,避免误报和漏报。
3.实时响应:IPS系统可以在几乎没有延迟的情况下对网络入侵行为做出实时响应,从而降低了攻击者对网络进行持续攻击的可能性。
4.灵活配置:IPS系统通常提供了丰富的配置选项,可以根据具体需求调整检测和防御策略,以适应不同的网络环境和安全需求。
5.全面防护:IPS技术可以对多种类型的网络入侵进行防御,包括网络层攻击、协议层攻击和应用层攻击等。
ips防护原理
IPS防护原理详解1. 概述Intrusion Prevention System(IPS)即入侵防御系统,是一种网络安全设备,用于检测和阻止网络中的恶意活动和攻击。
IPS通过监控网络流量,识别和防止入侵行为,保护网络免受威胁。
本文将详细解释与IPS防护原理相关的基本原理。
2. IPS的工作原理IPS主要通过以下几个步骤来实现网络防护:2.1 流量监测和数据包分析IPS首先监测网络流量,对传入和传出的数据包进行实时分析。
它可以通过网络接口监听数据包,或者与网络设备集成,以获取流经网络的数据包。
2.2 威胁识别和特征匹配在流量监测和数据包分析过程中,IPS会对数据包进行威胁识别。
它使用预定义的规则、签名和特征库来检测已知的攻击和恶意行为。
这些规则和特征库包含了各种攻击的特征信息,例如特定的字节序列、协议违规、恶意代码等。
当数据包被监测到时,IPS会将其与规则和特征库进行比对,以确定是否存在已知的攻击行为。
如果匹配成功,IPS将采取相应的防护措施,例如阻止数据包传输、断开与攻击源的连接等。
2.3 异常行为检测除了基于规则和特征匹配的检测方式,IPS还可以使用基于异常行为的检测方法。
它通过学习网络的正常行为模式,监测和分析网络流量中的异常行为。
IPS会建立一个基准模型,记录网络中各种活动的正常行为。
当网络流量中出现与正常行为模式不符的行为时,IPS会发出警报并采取相应的防护措施。
这种方法可以有效检测未知的攻击和零日漏洞利用。
2.4 响应和防护措施当IPS检测到恶意活动或攻击时,它会立即采取相应的响应和防护措施。
这些措施可能包括:•阻止数据包传输:IPS可以根据检测结果,阻止特定的数据包传输,以防止攻击继续进行。
•断开与攻击源的连接:IPS可以主动断开与攻击源的连接,以阻止攻击者进一步入侵网络。
•发出警报通知:IPS可以向管理员发送警报通知,以便及时采取措施应对威胁。
•记录日志信息:IPS会记录检测到的恶意活动和防护措施,以便分析和后续调查。
ips的原理和应用
IPS的原理和应用1. 什么是IPS?入侵预防系统(Intrusion Prevention System,简称IPS),是一种网络安全设备,用于监控和阻止潜在的网络攻击。
IPS通常采用深度包检测技术,通过分析网络流量中的数据包,以识别和阻止恶意活动,如网络攻击、漏洞利用等。
2. IPS的原理IPS的工作原理主要包括以下几个方面:2.1 包检测IPS使用深度包检测技术,对网络流量中的数据包进行分析。
它会检查数据包的目的地址、源地址、协议类型等信息,并与已知攻击的特征进行匹配,以判断是否存在恶意活动。
2.2 攻击特征匹配IPS利用预先定义的攻击特征数据库,对网络流量中的数据包进行匹配。
这些特征数据库包含了各种已知的攻击模式的签名,IPS会与这些签名进行比对,从而识别出潜在的攻击行为。
2.3 行为分析除了攻击特征匹配,IPS还可以根据异常行为来检测潜在的攻击。
它会分析网络流量中的流量模式、数据传输行为等信息,以检测异常的活动,如大规模的数据包洪泛、频繁的连接尝试等。
2.4 阻断和报警当IPS检测到潜在的攻击行为时,它可以采取多种措施进行应对。
包括阻断攻击流量、发送报警通知、触发其他安全设备进行联动等。
IPS可以根据配置的策略进行灵活的应对措施选择。
3. IPS的应用IPS广泛应用于各种网络环境中,包括企业、政府机构、教育机构等。
它在保护网络安全、防御攻击方面发挥着重要作用。
以下是IPS在网络安全中的应用场景:3.1 阻止网络入侵IPS能够检测和阻止各种类型的网络攻击,如DoS(拒绝服务)攻击、DDoS (分布式拒绝服务)攻击、SQL注入攻击等。
它通过实时监测流量并对异常行为进行分析,从而阻止恶意行为并保护网络免受攻击。
3.2 防止漏洞利用IPS可以监测和防止漏洞利用行为。
它通过对数据包进行分析,检测出可能利用系统或应用程序漏洞的攻击,并及时进行阻断。
这有助于保护系统免受已知和未知漏洞的威胁。
3.3 提高安全响应能力IPS能够提供实时的攻击报警,当网络中发生潜在的攻击行为时,可以及时通知安全团队。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络管理员教程精讲之IPS
下面是希赛小编为大家整理的软考网络管理员备考知识点精讲之IPS,希望能帮助学友们。
简介
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。
入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。
绝大多数IDS系统都是被动的,而不是主动的。
也就是说,在攻击实际发生之前,它们往往无法预先发出警报。
而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IP S 设备中被清除掉。
IP S实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。
当新的攻击手段被发现之后,IPS 就会创建一个新的过滤器。
IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。
如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,I PS能够从数据流中检查出这些攻击并加以阻止。
传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。
防火墙
的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。
所有流经IP S
的数据包都被分类,分类的依据是数据包中的报头信息,如源IP 地址和目的IP地址、端口号和应用域。
每种过滤器负责分析相对应的数据包。
通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。
每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。
在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤的准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。
并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。
这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。
种类
1.基于主机的入侵防护(HIPS)
HI PS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。
基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。
Cisco公司的Okena、NAI 公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的攻击中,起到了很好的防护作用。
基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。
HI PS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。
在技术上,HIPS采用独特的服务器保护途径,利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。
这种体系能够在提供合理吞吐率的前提下,最大限度地保护服务器的敏感内容,它既可以软件形式嵌入到应用程序对操作系统的调用当中,通过拦截针对操作系统的可疑调用,提供对主机的安全防
护;也可以更改操作系统内核程序的方式,提供比操作系统更加严谨的安全控制机制。
由于HIPS工作在受保护的主机/服务器上,它不但能够利用特征和行为规则检测,阻止诸如缓冲区溢出之类的已知攻击,还能够防范未知攻击,防止针对Web页面、应用和资源的未授权的任何非法访问。
HIPS与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。
2.基于网络的入侵防护(NIPS)
NI PS通过检测流经的网络流量,提供对网络系统的安全保护。
由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS 就可以去除整个网络会话,而不仅仅是复位会话。
同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS 通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。
NI PS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能。
这种特定的硬件平台通常可以分为三类:一类是网络处理器(网络芯片),一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。
在技术上,NIPS吸取了目前NIDS的所有成熟技术,包括特征匹配、协议分析和异常检测。
特征匹配是最广泛应用的技术,具有准确率高、速度快的特点。
基于状态的特征匹配不但可以检测攻击行为的特征,还能检查当前网络的会话状态,避免受到欺骗攻击。
协议分析是一种较新的入侵检测技术,它充分利用网络协议的高度有序性,并结合高速数据包捕捉和协议分析,来快速检测某种攻击特征。
协议分析正在逐渐进入成熟应用阶段。
协议分析能够理解不同协议的工作原理,以此分析这些协议的数据包,来寻找可疑或不正常的访问行为。
协议分析不仅仅基于协议标准(如RFC),还基于协议的具体实现,这是因为很多协议的实现偏离了协议标准。
通过协议分析,IPS能够针对插入(Insertion)与规避(Evasion)攻击进行检测。
异常检测的误报率比较高,NIPS
不将其作为主要技术。
3.应用入侵防护(A IP)
NI PS产品有一个特例,即应用入侵防护(Application Intrusion Prevention,AIP),它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。
A I P被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。
NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。
NI PS的实时检测与阻断功能很有可能出现在未来的交换机上。
随着处理器性能的提高,每一层次的交换机都有可能集成入侵防护功能。
技术特征
(1)嵌入式运行:只有以嵌入模式运行的IPS设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
(2)深入分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
(3)入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
(4)高效处理能力:IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
IP S面临的挑战
IP S技术需要面对很多挑战,其中主要有三点:一是单点故障,二是性能瓶颈,三是误报和漏报。
设计要求IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。
如果IDS出现故障,最坏的情况也就是
造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。
如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,I PS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的IPS嵌入设备无法支持这种响应速度。
绝大多数高端IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。
误报率和漏报率也需要IPS认真面对。
在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS每小时至少需要处理36,000条警报,一天就是864,000条。
一旦生成了警报,最基本的要求就是IPS能够对警报进行有效处理。
如果入侵特征编写得不是十分完善,那么"误报"就有了可乘之机,导致合法流量也有可能被意外拦截。
对于实时在线的IPS来说,一旦拦截了"攻击性"数据包,就会对来自可疑攻击者的所有数据流进行拦截。
如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被IPS拦截。