IPS是一個內嵌的基于網絡的IDS,它具有通過丟棄數據包來阻止傳輸的能力,以及簡單的檢測可疑流量的能力,IPS還可以監視交換機上的接口,然后發送適當的命令給一個路由器或者防火墻來阻止網絡流量。
IPS是對防火墻的增加,是在防火墻的指令集上增加了IDS的算法。IPS的類型一般有HIPS和NIPS。
1、HIPS
HIPS是基于主機的IPS,同時使用特征值檢測技術和異常檢測技術來識別攻擊。HIPS重點分析數據包中有效載荷的特定內容,尋找那些已經被識別為惡意數據包的模式,尋找那些顯示出惡意代碼特征的程序行為。
HIPS可以對系統資源進行修改,授予普通用戶root訪問權限,緩沖區溢出攻擊,訪問電子郵件目錄,web服務器上的目錄遍歷漏洞允許黑客訪問服務器上應用程序用戶正常訪問范圍之外的文件。
任何攻擊的惡意代碼都會執行一個系統調用,HIPS可以配置成檢查每個系統調用的惡意特征。HIPS可以確保文件訪問系統調用是非惡意的并且符合既定的安全策略,可以確保系統注冊表保持其完整性,HIPS還可以檢測并加強合法的客戶端與網絡的交互,以及客戶端與其他設備的交互。
2、NIPS
NIPS是基于網絡的IPS,實質上是一個能夠丟棄數據包和拆除TCP連接權限的內嵌NIDS,使用特征值檢測和異常檢測之類的技術。IPS使用流數據保護,這種技術要求對一個數據包序列中的應用有效載荷進行重新組裝,每當數據流中又一個數據包到達時,IPS設備對流的全部內容進行過濾,當一個數據流被確定為惡意時,最后到達的以及所有屬于可以數據流的數據包都被丟棄。
NIPS設備使用的識別惡意數據包的方法:掃描進入特定數據包,尋找與已知攻擊相匹配的字節序列;在一個上下文相關的傳輸流中掃描攻擊的特征碼,而不是在數據包中取查找;按照RFC中提及的標準集來尋找偏差
傳輸異常:尋找不尋找的傳輸活動;開發一些正常的傳輸活動和吞吐量的基線,并且在與基線發生偏離時報警。
了解更多服務器及資訊,請關注夢飛科技官方網站,感謝您的支持!
文章鏈接: http://www.qzkangyuan.com/14539.html
文章標題:IPS入侵防護系統
文章版權:夢飛科技所發布的內容,部分為原創文章,轉載請注明來源,網絡轉載文章如有侵權請聯系我們!
