正所謂想要使用它，先要了解它。即便我們有些時(shí)候并不了解某種產(chǎn)品的工作原理也可以使用，但是往往就在產(chǎn)品某個(gè)工作環(huán)節(jié)發(fā)生故障時(shí)我們才意識到，了解其工作原理的重要性。在下邊的文章里，我們通過文字和圖片盡可能簡單的闡述IPS工作原理，并且介紹IPS系統(tǒng)的四項(xiàng)技術(shù)特征。

IPS工作原理

IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個(gè)新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2(介質(zhì)訪問控制)至Layer 7(應(yīng)用)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進(jìn)行檢查，不能檢測應(yīng)用層的內(nèi)容。防火墻的包過濾技術(shù)不會針對每一字節(jié)進(jìn)行檢查，因而也就無法發(fā)現(xiàn)攻擊活動(dòng)，而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源IP地址和目的IP地址、端口號和應(yīng)用域。每種過濾器負(fù)責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進(jìn)行分類時(shí)，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析，以提高過濾準(zhǔn)確性。

過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時(shí)執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。這種硬件加速技術(shù)對于IPS具有重要意義，因?yàn)閭鹘y(tǒng)的軟件解決方案必須串行進(jìn)行過濾檢查，會導(dǎo)致系統(tǒng)性能大打折扣。

IPS技術(shù)特征

嵌入式運(yùn)行：只有以嵌入模式運(yùn)行的 IPS 設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)，實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包，并對該數(shù)據(jù)流的剩余部分進(jìn)行攔截。

深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類型、策略等來確定哪些流量應(yīng)該被攔截。

入侵特征庫：高質(zhì)量的入侵特征庫是IPS高效運(yùn)行的必要條件，IPS還應(yīng)該定期升級入侵特征庫，并快速應(yīng)用到所有傳感器。

高效處理能力：IPS必須具有高效處理數(shù)據(jù)包的能力，對整個(gè)網(wǎng)絡(luò)性能的影響保持在最低水平。
 

【編輯推薦】

1. IPS攻擊規(guī)避技術(shù)之URL混淆
2. IPS攻擊規(guī)避技術(shù)之RPC協(xié)議規(guī)避
3. IPS攻擊規(guī)避技術(shù)之TCP/IP協(xié)議規(guī)避
4. 簡述如何直接或間接攻擊NIDS
5. 黑客針對木馬及幾種罕見途徑繞過IDS