IPS笔记v11.docxVIP

IPS 入侵防御系统（intrusion prevention system）简称IPS，能够实时监控多种网络攻击并根据配置对网络攻击进行阻断。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。??针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。IPS功能对协议的检测流程包括两部分，分别是协议解析和引擎匹配。协议解析对协议进行分析、发现协议异常后，系统会根据配置处理数据包（记录日志、阻断屏蔽），并产生日志报告管理员；分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测，发现与特征库中特征相匹配的数据包后，系统根据配置处理数据包（记录日志、阻断屏蔽），并产生日志报告给管理员。根据报头和流信息，每个数据包都会被分类根据数据包的分类，相关过滤器将被用于检查数据包的流状态信息所有相关过滤器都是并行