IPS是一个内嵌的基于网络的IDS,它具有通过丢弃数据包来阻止传输的能力,以及简单的检测可疑流量的能力,IPS还可以监视交换机上的接口,然后发送适当的命令给一个路由器或者防火墙来阻止网络流量。
IPS是对防火墙的增加,是在防火墙的指令集上增加了IDS的算法。IPS的类型一般有HIPS和NIPS。
1、HIPS
HIPS是基于主机的IPS,同时使用特征值检测技术和异常检测技术来识别攻击。HIPS重点分析数据包中有效载荷的特定内容,寻找那些已经被识别为恶意数据包的模式,寻找那些显示出恶意代码特征的程序行为。
HIPS可以对系统资源进行修改,授予普通用户root访问权限,缓冲区溢出攻击,访问电子邮件目录,web服务器上的目录遍历漏洞允许黑客访问服务器上应用程序用户正常访问范围之外的文件。
任何攻击的恶意代码都会执行一个系统调用,HIPS可以配置成检查每个系统调用的恶意特征。HIPS可以确保文件访问系统调用是非恶意的并且符合既定的安全策略,可以确保系统注册表保持其完整性,HIPS还可以检测并加强合法的客户端与网络的交互,以及客户端与其他设备的交互。
2、NIPS
NIPS是基于网络的IPS,实质上是一个能够丢弃数据包和拆除TCP连接权限的内嵌NIDS,使用特征值检测和异常检测之类的技术。IPS使用流数据保护,这种技术要求对一个数据包序列中的应用有效载荷进行重新组装,每当数据流中又一个数据包到达时,IPS设备对流的全部内容进行过滤,当一个数据流被确定为恶意时,最后到达的以及所有属于可以数据流的数据包都被丢弃。
NIPS设备使用的识别恶意数据包的方法:扫描进入特定数据包,寻找与已知攻击相匹配的字节序列;在一个上下文相关的传输流中扫描攻击的特征码,而不是在数据包中取查找;按照RFC中提及的标准集来寻找偏差
传输异常:寻找不寻找的传输活动;开发一些正常的传输活动和吞吐量的基线,并且在与基线发生偏离时报警。
了解更多服务器及资讯,请关注梦飞科技官方网站,感谢您的支持!
文章链接: https://www.mfisp.com/14539.html
文章标题:IPS入侵防护系统
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
