IPS入侵防御系统
1. IPS 基础知识(1) 什么是IPS? (2) 入侵防御系统(IPS) 基本原理(3) IPS 工作流程(4) IPS 威胁防御技术(6) IPS 与IDS 的区别
2. IPS设备的分类(1) IPS设备的分类(2) IPS及其他安全解决方案
3、IPS在常见设备中的作用
一、IPS基础
(1)IPS是什么?
入侵防御系统(IPS)是一种网络安全设备,旨在监控网络流量并根据预定义的规则或策略检测和阻止潜在的网络攻击。 IPS可以部署在网络边界、数据中心、云环境、边界防火墙等关键节点,防范来自外部和内部网络的攻击。
(2)入侵防御系统(IPS)的底层原理
流量监控:IPS系统首先实时监控网络流量,收集并分析网络内发送的数据包,检测网络流量信息,如协议类型、端口号、数据包大小、源地址和目的地址等,识别正在运行的网络流量。特点。
攻击检测:IPS设备类似于病毒定义文件,使用特征库来比较已知的攻击模式并检测潜在的网络攻击。示例包括网络扫描、DDoS 攻击、SQL 注入攻击、漏洞利用、缓冲区溢出攻击、特洛伊木马和蠕虫。 IPS 可以使用特定签名和启发式检测攻击,并利用机器学习等先进技术进行更复杂的分析。
阻止攻击:当IPS 检测到潜在攻击时,它会立即采取行动阻止攻击。这些对策可能包括丢弃攻击数据包、阻止来自攻击地址的进一步通信等。
漏洞管理:防止攻击者利用Apache Struts、Drupal、远程访问、VPN、Microsoft Exchange、Microsoft SMB、操作系统、浏览器、物联网系统等中的关键漏洞。 IPS 还可以管理系统中的已知漏洞并修补这些漏洞,从而减少攻击者利用它们的机会。
日志和分析:IPS系统记录和分析网络流量和事件日志,帮助安全团队识别网络攻击和异常行为,并提供相关的安全报告和警报。
总的来说,IPS是一种重要的网络安全工具,主要用于防止攻击、检测网络流量、监控系统调用和文件、自动阻止攻击、提供高级网络和系统安全、协助安全管理(IPS提供详细的安全事件)。帮助安全管理员分析和管理安全事件的报告和日志。)
(3)IPS工作流程
IPS(入侵防御系统)工作流程通常包括以下主要步骤:
捕获流量:IPS系统必须首先捕获网络流量。这可以通过在网络中的关键节点(例如网络外围、服务器前端和内部网段)部署IPS 设备来实现。
流量分析:捕获的流量由IPS系统进行分析。该步骤包括但不限于对数据包进行详细检查,包括源地址、目的地址、端口号、协议类型、负载内容等。
签名匹配:IPS系统使用预定义的攻击签名数据库来匹配捕获的数据包。这些签名代表已知的攻击模式或恶意行为。
异常检测:除了基于签名的匹配之外,IPS 还可以使用异常检测技术来识别不遵循正常网络行为模式的流量。这可能包括行为分析、统计分析或其他启发法。
攻击识别:结合签名匹配和异常检测结果,IPS系统识别潜在的攻击行为。
响应机制:当检测到攻击时,IPS系统根据预先配置的策略自动响应。响应操作可能包括阻止攻击流量、重定向流量、向管理员发送警报、记录事件等。
日志:记录所有检测到的攻击和采取的响应操作,以供安全分析师进一步审查和分析。
更新和维护:为了保持IPS系统的有效性,必须定期更新攻击特征数据库,并调整检测策略以应对新的威胁和攻击技术。
报告和通知:IPS 系统可以生成安全报告并向网络管理员或安全团队发送通知,以采取进一步行动或进行安全审核。
策略优化:根据日志分析和安全团队的反馈,您可以优化IPS 策略和规则,以减少误报并提高检测准确性。
整个工作流程是动态的,需要不断调整和优化,以适应不断变化的网络威胁环境。通过这种持续的监控、分析、响应和报告过程,IPS系统可以有效地提高网络安全性。
(4)IPS威胁防范方法
阻止恶意流量
IPS 可以终止用户会话、阻止特定IP 地址或阻止发往目标的所有流量。一些IPS 可以将流量重定向到蜜罐、诱饵资产,让黑客误以为自己已经成功,而实际上它们正受到SOC 的监控。
删除恶意内容
IPS 允许流量继续,但会清除危险部分,例如从流量中丢弃恶意数据包或从电子邮件中删除恶意附件。
启动其他安全装置
IPS 可能会提示其他安全设备采取行动,例如更新防火墙规则以阻止威胁或更改路由器设置以防止黑客到达其目标。
执行安全政策
某些IPS 可以防止攻击者或未经授权的用户执行违反公司安全策略的操作。例如,如果用户尝试从数据库发送敏感信息,IPS 会阻止它。
(6)IPS和IDS的区别
入侵检测系统(IDS)是入侵检测技术发展早期提出的一个产品类型。与入侵防御系统的主要区别是:
(1)部署方式:IDS一般采用旁路方式部署,不参与数据流转发。另一方面,IPS 通常在网络内串行部署。线路模式。数据流在转发之前必须经过IPS的处理。
(2)实施能力:IDS本身无法拦截攻击,如果需要防范攻击,必须与防火墙以及防火墙上的安全策略联动。格挡攻击移动。 IPS可以直接检测和处理攻击行为,无需其他网络设备的配合。
(3)响应速度:IDS通过镜像数据流来检测攻击行为。一旦发现,数据流就被网络设备转发。 IDS是否通过警报或防火墙协调来处理攻击行为是事后的想法。另一方面,IPS 首先对数据包执行安全检查,然后根据安全检查的结果决定如何处理数据包。能够及时响应和处理。
换句话说,IDS设备并不是针对入侵立即采取行动,而是一种注重风险管理的安全机制。目前,华为提供的专业入侵防御设备和具有入侵防御功能的防火墙都同时具备IDS和IPS功能,管理员可以根据自己的实际网络需求进行选择。
二、IPS 设备分类
(1)IPS 设备分类
目前主流的入侵防御系统有多种类型,可以部署在多种场景中。包括:
(1) 在网络出口安装网络入侵防御系统(NIPS),检测所有网络流量并主动扫描威胁。
(2)主机入侵防御系统(HIPS)。 HIPS 作为单个软件主机安装在设备上,仅检测进出设备的流量。通常与NIPS 结合使用。
(3)网络行为分析(NBA)用于分析网络流量,通过检测异常流量来发现新的恶意软件和零日漏洞。
(4) 无线入侵防御系统(WIPS) 扫描Wi-Fi 网络是否存在未经授权的访问,并从网络中删除未经授权的设备。
(2)IPS 和其他安全解决方案
尽管IPS 可以用作独立工具,但它旨在与其他安全解决方案紧密集成,作为整个网络安全系统的一部分。
IPS 和SIEM(安全信息和事件管理)
IPS 警报通常发送到组织的SIEM,在那里它们可以与来自其他安全工具的警报和信息组合到单个集中式仪表板中。集成IPS 和SIEM 使安全团队能够通过额外的威胁情报来丰富IPS 警报、过滤掉错误警报并跟踪IPS 活动以确保阻止威胁。 SIEMS 还帮助SOC 协调来自不同类型IPS 的数据,因为许多组织使用多种类型的IPS。
IPS 和IDS(入侵检测系统)
如前所述,IPS 是从IDS 发展而来的,并且具有许多相同的功能。虽然某些组织可能使用单独的IPS 和IDS 解决方案,但大多数安全团队部署单一集成解决方案,提供强大的检测、日志记录、报告和自动威胁防护功能。许多IPS 为安全团队提供关闭防御的能力,允许组织在需要时充当纯粹的IDS。
IPS 和防火墙
IPS 充当防火墙后面的第二道防线。防火墙会阻止外围的恶意流量,而IPS 则会阻止通过防火墙并进入网络的流量。一些防火墙,尤其是下一代防火墙,具有内置的IPS 功能。
三、IPS在常见设备中的角色定位
WAF(Web 应用程序防火墙)——建筑物入口处保安的角色
IDS(入侵检测系统)- 建筑物内的安全巡逻
IPS(入侵防御系统)- 楼内监控系统和安全团队
VPN(虚拟专用网络)- 建筑物内的隧道系统
IDS(入侵检测系统):相当于建筑物内的安全巡逻。该巡逻队将定期巡逻,监视建筑物内外的任何异常活动,并向安保团队报告。它们是非侵入性的并提供及时的警报。这类似于监视网络流量并生成警报以等待安全团队采取行动的IDS。
职责:IDS 定期监控网络流量和系统行为,寻找异常模式或活动。当检测到可疑行为时生成警报以通知您的安全团队。 IDS 并不直接防止攻击,而是提供警报和事件记录。
作用:IDS 帮助监控网络活动,发现潜在威胁,并向安全团队提供信息以进行进一步调查和响应。
IPS(入侵防御系统):与建筑物中的监控系统和安全团队类似,监控系统会检查建筑物中的每个房间和走廊以及每个人的活动。当建筑物内有人行为异常时,监控系统会立即发出警报并通知安全团队采取行动,类似于检测并阻止内部网络上的恶意活动的IPS。
职责: IPS 监控网络内的流量和活动,以检测潜在的入侵和恶意活动。识别恶意行为并采取主动措施阻止攻击,例如阻止攻击源或更改防火墙规则。
作用:IPS确保内部网络的安全,快速响应威胁,并采取措施防止内部系统和数据遭到破坏。
VPN(虚拟专用网络):类似于建筑物内的隧道系统。正如用户可以通过加密隧道连接到内部网络一样,VPN 允许远程员工和分支机构通过安全隧道在建筑物内部直接连接,从而保持数据的机密性和一致性。
职责:VPN 允许远程用户和分支机构通过加密通道安全地连接到内部网络。它对数据传输进行加密,确保数据的机密性和完整性,并提供远程访问功能。
用途:VPN 扩展了内部网络的范围,允许远程访问,同时确保数据在传输过程中受到保护。适合连接远程或分支机构。
参考
https://blog.csdn.net/wt334502157/article/details/133648601?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171939366416800211546084%2522%252C%25%2 522%253A%252220140713.130102334…%2522%257Drequest_id=171939366416800211546084biz_id=0utm_medium=distribution.pc_search_result.none-task-blog-2alltop_click~default-2-133648601-null-null.142v100pc_search_result_base3utm_term=ipsspm=1018.2226.3001.4187
https://www.ibm.com/cn-zh/topics/intrusion-prevention-system
以上关于#网络安全的相关内容摘自网络,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92239.html