IPS - 入侵预防系统

入侵检测和预防系统是入侵预防系统的另一种说法。它是一个网络安全程序，用于在网络或系统上查找有害活动。入侵预防系统的主要功能是检测恶意行为，收集有关恶意行为的信息，报告恶意行为，并尝试阻止或停止恶意行为。由于入侵预防系统和入侵检测系统都监视网络流量和系统操作是否存在恶意行为，因此入侵预防系统与入侵检测系统 (IDS) 一起使用。

IPS 通常会记录有关观察到的事件的信息，通知安全管理员有关重大事件，并生成报告。许多 IPS 在发现威胁后也可以尝试阻止威胁成功。它们使用各种响应策略，包括 IPS 中断攻击、修改安全环境和改变攻击的实质。

为什么入侵预防系统很重要？

在当今互联的商业环境中，为了实现跨不同企业安全可信的信息交换，需要高水平的安全。在传统技术之后，入侵预防系统作为系统安全的可调整保护技术。通过一种不需要 IT 干预的自动化方法来避免入侵，从而降低了成本并提高了性能灵活性。由于网络攻击只会变得越来越复杂，因此防御技术必须跟上。

入侵预防系统的优点

以下是入侵保护系统的一些优点

• 降低安全事件发生的可能性
• 提供动态威胁防护
• 防御零日威胁、分布式拒绝服务攻击和暴力破解攻击
• 在发现可疑活动时自动通知管理员
• 允许或拒绝某些入站流量进入网络
• 减少 IT 人员的网络维护工作。

入侵预防系统的缺点

以下是入侵保护系统的一些缺点

• 当系统检测到异常网络活动并假定其为恶意时，它可能是一个误报，导致对无辜用户的拒绝服务攻击。
• 如果组织的带宽和网络容量不足，IPS 工具可能会减慢系统速度。
• 如果网络中有多个 IPS，数据必须经过每个 IPS 才能到达最终用户，这可能会降低网络性能。
• IPS 比其他系统更昂贵。

入侵预防系统 (IPS) 的分类

入侵预防系统 (IPS) 分为四类

1. 基于网络的入侵预防系统 (NIPS) 分析协议活动，以监视整个网络是否存在可疑流量。
2. 无线入侵预防系统 (WIPS) 分析无线网络协议，以监视无线网络上的可疑流量。
3. 网络行为分析 (NBA)：它分析网络数据以查找导致异常流量模式的威胁，例如分布式拒绝服务攻击、某些类型的恶意软件和策略违规。
4. 基于主机的入侵预防系统 (HIPS)：它是一种内置的软件程序，通过检查主机上发生的事件来监视单个主机是否存在可疑行为。

入侵预防系统如何检测恶意活动？

入侵预防系统通过利用不同的技术以非常不同的方式检测恶意活动，但最常见的两种是基于签名的检测和基于统计异常的检测。在其基于签名的检测机制中，入侵预防系统使用每个漏洞代码中已识别签名的字典。入侵预防系统的基于签名的检测方法有两种：面向漏洞利用的检测方法和面向漏洞的检测方法。面向漏洞利用的检测方法旨在通过识别单个漏洞来检测恶意活动，而面向漏洞的检测方法旨在通过检测常见的攻击模式来检测恶意活动。

入侵预防系统 (IPS) 与入侵检测系统 (IDS) 的区别

以下功能区分了入侵预防系统 (IPS) 和入侵检测系统 (IDS)

1. 入侵预防系统部署在内联中，可以主动阻止或拦截可疑入侵。
2. IPS 可以发出警报、丢弃恶意标识的包、重新建立连接或阻止来自攻击者 IP 地址的流量。
3. IPS 还可以对数据包流进行碎片整理，解决 TCP 排序问题，清除不需要的传输和网络层选项，并修复 CRC 错误。

入侵预防系统 (IPS) 的检测方法

1. 基于签名的识别：基于签名的 IPS 会检查网络数据包，并将其与预先构建和预先确定的攻击模式（签名）进行比较。
2. 基于统计异常的识别：基于异常的 IPS 会跟踪网络流量，并将其与一组规则进行比较。基线将确定该网络的正常情况以及使用的协议。但是，如果基线配置不当，可能会导致误报。
3. 有状态协议检查识别：这种 IPS 技术通过将观察到的事件与预先构建的、被广泛认可的非有害活动标准的配置文件进行比较来检测协议偏差。

IPS 如何工作？

入侵预防系统通过主动检查路由的网络数据来检测恶意活动并识别攻击模式。IPS 引擎会定期扫描网络流量以查找已知攻击模式，并将其与其自身的签名数据库进行比较。IPS 旨在防范广泛的威胁，包括以下威胁

• 拒绝服务 (DOS) 攻击
• 分布式拒绝服务 (DDOS) 攻击
• 各种类型的冒险
• 蠕虫
• 病毒

IPS 会实时彻底检查穿过网络的每个数据包。如果 IPS 检测到任何恶意或可疑的数据包，它将执行以下操作之一

1. 终止受损的 TCP 会话，并阻止冒犯性的源 IP 地址或用户帐户以不道德的方式访问任何应用程序、目标主机或其他网络资源。
2. 重新编程或调整防火墙以避免未来发生此类攻击。
3. 在攻击发生后，移除或替换网络上发现的任何危险内容。这是通过重新打包有效负载、移除头部信息以及从文件或电子邮件服务器中移除任何恶意附件来完成的。

预防类型

为了保护网络免受未经授权的访问，入侵预防系统通常被设置为使用各种方法。这些是其中一些

• 基于签名- 基于签名的方法使用预定义已知网络危害的签名。当发生与其中一个签名或模式匹配的攻击时，系统会做出反应。
• 基于异常- 基于异常的方法监视网络是否存在任何异常或意外活动。一旦检测到异常，系统会立即禁用对目标主机的访问。
• 基于策略- 管理员必须以这种方式根据组织安全策略和网络基础设施配置安全策略。当发生违反安全策略的行为时，会触发警报并发送给系统管理员。

IPS (入侵预防系统) - 主动网络安全

IPS 系统为当前一些最知名的网络攻击提供了主动防护。在正确配置的情况下，IPS 可以防范恶意或不受欢迎的数据包以及暴力破解攻击。Forcepoint 的下一代防火墙 (NGFW) 为任何网络提供了强大的入侵预防和检测功能，使您能够在几分钟而不是几小时内响应威胁，并保护您最有价值的数据和应用程序资产。

IPS 技术是如何发展的？

由于 2000 年代初期防火墙缺乏深度数据包检测 (DPI) 功能，IPS 被认为是与防火墙不同的技术。因此，IPS 位于防火墙前面，监视流量并采取安全措施。然而，由于早期有效的 IPS 解决方案——就像杀毒软件制造商一样——主要依赖于维护签名数据库，扫描流量的过程存在一些问题。首先，基于 DPI 的匹配可能导致网络流量减慢，其次，合法流量是一个严重的问题。

后来的 IPS 系统包括更快的检测、使用机器学习进行检测，以及增加了用户和应用程序控制，其中只有特定帐户可以访问应用程序的全部或部分（称为“下一代 IPS”）。

IPS 很快就进入了下一代防火墙 (NGFW)，使其能够基于 DPI 和用户活动执行更多操作，例如阻止已知恶意软件、修改 URL 过滤以及重新配置 VPN 和防火墙本身。

此外，用户和应用程序安全的发展使企业能够在整体安全策略中监控、检测和执行内部对安全策略的合规性。

下一代防火墙的优势

在采用 IPS 时，考虑下一代防火墙至关重要。大多数 NGFW 都包含 IPS 技术（取代了独立解决方案的需求），并为组织提供了许多优势，包括改进的网络安全、提高用户生产力、改善带宽管理、优化、简化管理以及降低总体拥有成本。传统防火墙仅过滤进出企业网络的流量，而 NGFW 凭借其 DPI 和 IPS 功能，有助于打击应用程序上的特定网络攻击。IPS 的问题与 NGFW 的问题紧密交织，这使得它对于大多数希望增加网络威胁防护能力的同时提高对公司安全策略合规性的企业来说，是一个非常现实的选择。

为什么下一代保护很重要？

勒索软件通常会以几种方式之一渗透网络并传播

• 使用欺诈性、被黑客入侵或自动下载
• 利用网络或系统漏洞
• 在电子邮件附件或网络钓鱼 URL 中
• 在 USB 驱动器或其他存储设备上

阻止网络攻击

下一代防火墙必须具备 IPS（入侵预防系统）技术。它使用深度数据包检测，在网络流量中搜索表明攻击的特定漏洞、模式和异常。攻击通常使用恶意输入来破坏主机程序或服务，例如 WannaCry 和 Not Petya 使用的 Eternal Blue 漏洞，以获得足够的控制权来执行勒索软件等恶意软件。

网络威胁类型

• ICMP 风暴：大量的 ICMP 回显可能表明存在恶意传输，例如搜索 IP 地址。
• Ping of Death： ping 命令用于通过网络检查另一台计算机是否正常运行。用户可以通过错误配置 ping 命令，向目标计算机发送异常大的数据包，导致其暂时崩溃或宕机。
• SSL 规避：攻击者试图绕过安全设备，通过使用未经安全设备验证的加密 SSL 隧道。
• IP 分片：Flag route 等程序会拦截并重写发往特定主机的出站流量，从而使攻击得以继续。
• SMTP 大量邮件攻击：配置错误的电子邮件地址会导致 SMTP 拒绝服务攻击，给邮件服务器带来巨大压力。
• DoS/DDoS 攻击：攻击者向企业网络服务器发送大量看似合法的连接请求。如果这些连接请求的数量超过服务器的处理能力，真实用户将无法访问服务。拒绝服务 (DoS) 是拒绝服务攻击的缩写。在分布式拒绝服务 (DDoS) 攻击中，攻击者在多台个人计算机上安装恶意软件，并利用它们同时从多个地点发起 DoS 攻击。
• SYN Flood 攻击：攻击者向服务器发送大量“请与我通信”数据包，但没有后续数据包，从而耗尽服务器为这些请求预留的内存资源。
• Http 混淆：许多 Web 服务器攻击通过混淆 URL 字符（例如，使用十六进制数字）发生，这为攻击者提供了不应有的访问权限。
• 端口扫描：攻击者试图通过扫描不同的端口来找出特定主机或网络上主机组的哪些端口是开放的。获得此信息后，会尝试利用这些服务中已知漏洞的攻击。
• ARP 欺骗：当本地网络上的 MAC 地址是已知的，则使用地址解析协议 (ARP) 来查找它。发送主机在网络上发送 ARP 数据包（请求），要求具有特定 IP 地址的主机的 MAC 地址，并接收相同的响应。通过欺骗网络外部的虚假 ARP 请求，网络流量会被重定向到对攻击者有价值信息的另一个站点。
• CGI 攻击：远程攻击者可以通过发送包含 Shell 元字符（例如“|”）的恶意 Web 请求，在运行易受攻击的 CGI 脚本的服务器上执行任意操作。如果执行了这些命令，攻击者就可以获得对主机的本地或交互式访问。
• 缓冲区溢出攻击：当程序或进程尝试将比缓冲区容纳的更多数据存储到缓冲区中时，就会发生这种情况。这些额外的数据可能会溢出到某些缓冲区中，并包含执行指定任务的代码，例如破坏用户的文件。
• OS 指纹识别攻击：OS 指纹识别是一种识别设备上安装的操作系统的技术。黑客可以在发起攻击之前利用此信息对网络进行侦察。此信息用于利用特定操作系统的漏洞。
• SMB 探测：服务器消息块 (SMB) 协议是一种应用层网络协议，允许用户共享打印机、文件和串行端口。在 MS Windows 环境中，SMB 探测攻击涉及文件或打印机共享，重点关注用户使用 SMB 协议在 Internet 的多个子网之间共享文件的实例。

选择最有效的入侵预防系统

入侵保护系统的市场非常多样化。因此，选择最佳的入侵检测系统是一项艰巨的任务。有许多必要的步骤对于降低选择最佳入侵预防系统 (IPS) 的复杂性很重要，即：设定预算，定义新系统必须满足的规格，以及研究市场上各种入侵预防系统。请记住，入侵预防系统是一种独立的解决方案。虽然入侵预防系统 (IPS) 可以帮助检测恶意的网络活动，但全面的安全策略应包括数据保护、端点安全、事件响应以及其他技术和资源。

结论

IPS 可以用作编程工具或设备。在理想情况下（假设），IPS 依赖于肮脏流量进入、干净流量退出的简单规则。入侵预防系统本质上是已扩展的入侵检测系统。主要区别在于，与入侵检测系统不同，入侵预防系统可以成功阻止和防止检测到的拦截。例如，IPS 可以丢弃恶意数据包，阻止来自负责 IP 地址的流量，等等。