计算机信息及网络安全实用教程 主编 蒋理 第10章 入侵检测系统新.pptVIP

10.4.2 IPS的工作原理 　　IPS一般工作在在线（in-line）模式，它串接在网络中，可以阻断部分攻击行为。 　　IPS倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。 　　由于大部分攻击行为具有相对固定的特征和变形方式，提高检测的准确性、实用性和实时性是研究重点。 　　IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。 　　IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用介质访问控制对应用的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。 　　传统的防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。 　　与IDS一样，IPS也分成基于主机的IPS（HIPS）和基于网络的IPS（NIPS），前者预防黑客对关键资产，如对关键服务器、数据库的攻击；后者预防对关键网段的攻击。 　　与IDS的基于异常行为库匹配检测方法相反的是，IPS是对基于正常行为的匹配检测，即系统设立正常行为库，符合正常行为的访问