8-2 入侵防御系统.pptx

项目8入侵检测与防御技术

入侵防御系统02.

IPS的定义IPS是一台能够监视网络或网络设备传输数据行为的计算机网络安全设备，能够及时地中断、调整或隔离一些不正常或具有伤害性的数据传输行为。也就是说，IPS是一种主动的、智能的入侵防御系统，能预先对入侵行为和攻击性网络流量进行拦截，当它检测到攻击企图后，就会自动地将攻击包丢掉或采取措施将攻击源阻断。

IPS的工作原理

实时阻断攻击深层防护全方位防护内外兼防IPS技术的优势不断升级，精准防护

防火墙、IDS/IPS的区别

基于主机的入侵防御系统HIPS通过在主机/服务器上安装软件代理程序，防止网络入侵操作系统及应用程序。基于网络的入侵防御系统NIPS通过检测流经的网络流量，提供对网络系统的安全保护。入侵防御系统的分类

入侵防御系统使用的关键技术1．主动防御技术IPS倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接部署在网络边界上连接内外网实现安全防护功能的，它可以通过网络端口接收来自外部系统的流量，检查确认其中是否包含异常或可疑的活动内容，在数据传输过程中清除掉有问题的数据内容。

入侵防御系统使用的关键技术2．集成多种检测技术（1）基于攻击签名的（Signature-based）检测。IPS设备厂商提供攻击签名数据库，并可以从厂商处获得对新的攻击检测条目的更新，这种方式与杀毒软件所采取的方式类似。这种方式可能会产生错误报告，如正常的测试或访问行为可能会被认为是攻击，如利用带有-t参数的ping命令测试网络连通性可能会产生误报。这种方式对已知攻击有效，需要一个攻击的特征文件，并要不断升级。（2）基于策略的检测。在这种方式下，策略的定义与描述要先创建，入侵检测系统分为入侵检测设备与管理控制端两部分，入侵检测设备负责数据的收集和分析，记录日志信息，发现入侵行为时报警，安全管理端接收和处理报警信息，根据报警的相关设定按相应的策略采取行动，如与防火墙联动，并形成对此行为的新的规则库（可以是添加访问控制到防火墙上，以后就可以由防火墙直接拦截）。这种方式下需要对入侵检测与网络管理进行策略的协调，也需要一个策略数据库。

入侵防御系统使用的关键技术（3）基于异常的检测。在这种方式下要先定义哪些是正常的流量，即需要定义一个用户的活动范围，对超出此范围的情况发出警报。当然这需要构建一个准确的特征文件。这种方式的优点是能够检测未公布的攻击行为。但是这种方式的缺点也很明显，因为用户的活动有很大的随机性，可能新的访问方式或行为被认为是攻击而产生报警，这种方式下就需要一个用户正常行为的特征文件。（4）密罐（Honeypot）的检测方法。这种方式要先设置一台主机，这台主机尽可能多开启服务，用于引诱攻击者对这台主机进行扫描或探测，对攻击者起到一个陷阱的作用，同时与关键设备隔离，使网络管理者发现企图对网络发起攻击的源头。这种方式下需要在网络关键位置部署一台陷阱主机。

谢谢！