「安全科普」揭秘IPS之請出示網(wǎng)絡“健康碼”

小安：下個月中秋，你有出行計劃嗎?

小白：沒想好呢，外出要準備檢查核酸、健康碼、行程碼、體溫……

小安：哈哈別嫌多，嚴格的防疫政策才能保護咱們的安全。就像嚴格的IPS規(guī)則，時刻保護著網(wǎng)絡安全。

小白：什么是IPS?

小安：在網(wǎng)絡安全行業(yè)，怎么能不知道它呢?來來，我給你說說IPS的發(fā)展史……

IPS的前世今生

IPS即入侵防御系統(tǒng)，它能文能武，既能實時發(fā)現(xiàn)又能即刻阻斷各種入侵行為。自面世那天起，IPS就備受各行業(yè)用戶與網(wǎng)絡安全廠商的關(guān)注。通俗來講，我們在電腦中會安裝防火墻和殺毒軟件，可以把IPS理解為傳統(tǒng)防火墻和殺毒軟件的補充，它可以更有效地防止病毒入侵。

IPS的作用原理

IPS位于傳統(tǒng)防火墻和網(wǎng)絡設備之間，通過對數(shù)據(jù)包的檢測進行防御。它會檢查入網(wǎng)的數(shù)據(jù)包，確定數(shù)據(jù)包的真正用途，然后決定是否允許其進入內(nèi)網(wǎng)。

傳統(tǒng)防火墻可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力;它主要在二到四層起作用，在四到七層的作用一般很微弱。IPS在這方面對傳統(tǒng)防火墻進行補充。

IPS就像“偵察兵”，專門深入網(wǎng)絡數(shù)據(jù)內(nèi)部，查找它認識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進行記載以便事后分析。

IPS對數(shù)據(jù)流的檢測流程：數(shù)據(jù)流通過IPS，首先會進行數(shù)據(jù)重組，再針對重組后的數(shù)據(jù)流進行協(xié)議識別(如http、ftp或應用層協(xié)議等)，接著對其進行特征分析，分析是否存在攻擊的特征動作或病毒的某種特性，根據(jù)分析結(jié)果進行策略定制，檢驗是否為惡意流量。如果數(shù)據(jù)流不是惡意流量，那么就將其繼續(xù)轉(zhuǎn)發(fā)出去;如果是惡意流量或可疑流量，那么對其進行限流甚至阻斷操作。

IPS還會結(jié)合應用程序或網(wǎng)絡傳輸中的異常情況，來輔助識別入侵與攻擊。比如，用戶或程序違反安全條例、數(shù)據(jù)包在不應該出現(xiàn)的時段出現(xiàn)、作業(yè)系統(tǒng)或應用程序的利用等現(xiàn)象，都屬于異常情況的范疇。

總結(jié)一下：IPS會對明確判斷的攻擊行為、危害網(wǎng)絡和數(shù)據(jù)的惡意行為，進行檢測與防御，降低或減免用戶處理異常狀況的資源投入，是一種側(cè)重于風險控制的安全產(chǎn)品。

IPS檢測原理圖

小安：明白什么是IPS了嗎?

小白：清清楚楚!它就像網(wǎng)絡中的卡口，數(shù)據(jù)流要進網(wǎng)就得出示“健康碼”。但是，IPS檢測攻擊行為時，具體是怎么匹配攻擊特征的呢?

小安：這個呀，等我下次再跟你詳細說說……

來源：IT時代網(wǎng)

IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。

相關(guān)文章

「安全科普」揭秘IPS之請出示網(wǎng)絡“健康碼”