|
IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。
如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。
防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。
所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。
通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。
每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。
IPS和防火墙相比,除了能检查身份证件,IPS还能检查旅客的指纹,能搜身,这样抓获恐怖分子的机会就会大大增加。
IPS和IDS相比,除了能记录下来部分旅客在机场时的活动情况,以预备真出了事后为警察提供线索,还能在机场识别出恐怖分子,不让其上机,让恐怖活动不能得逞。
足下有绊石
IPS的出现可谓是企业网络安全的革命性创新。然而创新意味着对困难的克服,IPS技术必须克服三大障碍。
旁路变串接的障碍
改进IDS旁路工作方式,使得IPS不仅能旁路工作,还能串接在网络中工作,对攻击的防御由被动防御变成主动防御。
串接在网络上后,IPS技术的一些痼疾就展现出来了。
第一个是漏报误报率问题。IDS因为检测手法比较单纯,漏报误报一直是IDS产品的弱点,人们甚至因此对IDS的实用性产生了怀疑。IDS因为是被动防御,产生误报后只要没有联动措施,都不会影响网络的正常工作。而IPS是串接在网络中的主动防御,产生误报后将直接影响网络的正常工作。这样安全产品就变成网络的故障点了。
举例来说,机场在安检处检查旅客时,不能仅凭旅客是否鬼鬼祟祟,冒似恐怖分子就把他抓起来,如果抓错人会直接影响机场的正常工作秩序,必须有搜身,验指纹等新的技术,保证抓获的是真正的恐怖分子。
第二个是性能问题。IDS因为是旁路工作,对实时性要求不高,而IPS串接在网络上,要求必须像网络设备一样对数据包做快速转发。因此,IPS需要在不影响检测效率的基础上做到高性能的转发。
举例来说,安检是要对每个旅客检查的项目多了,但不能因此耽误飞机的起飞时间。这就对检查时间提出了高要求,必须能快速检查完更多的项目。
功能延伸的障碍IPS技术必须大大扩展安全功能,在网络蠕虫的预防、BT下载的限制、垃圾邮件的防范等方面做更多的工作。这些工作对传统的IDS技术来说力不从心,就像以前的机场安检让“911”的劫机犯混过安检一样,现在的机场安检必须能检查出来这种恐怖分子。
扩大规则库的障碍
随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。
共5页: 上一页 [1] 2 [3] [4] [5] 下一页
|
