「安全科普」揭秘IPS之请出示网络“健康码”

小安: 下个月中秋,你有出行计划吗?小白: 没想好呢,外出要准备检查核酸、健康码、行程码、体温……小安: 哈哈别嫌多,严格的防疫政策

小安: 下个月中秋,你有出行计划吗?

小白: 没想好呢,外出要准备检查核酸、健康码、行程码、体温……

小安: 哈哈别嫌多,严格的防疫政策才能保护咱们的安全。就像严格的IPS规则,时刻保护着网络安全。

小白: 什么是IPS?

小安: 在网络安全行业,怎么能不知道它呢?来来,我给你说说IPS的发展史……

IPS的前世今生

IPS即入侵防御系统,它能文能武,既能实时发现又能即刻阻断各种入侵行为。自面世那天起,IPS就备受各行业用户与网络安全厂商的关注。通俗来讲,我们在电脑中会安装防火墙和杀毒软件,可以把IPS理解为传统防火墙和杀毒软件的补充,它可以更有效地防止病毒入侵。

IPS的作用原理

IPS位于传统防火墙和网络设备之间,通过对数据包的检测进行防御。它会检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网。

传统防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力;它主要在二到四层起作用,在四到七层的作用一般很微弱。IPS在这方面对传统防火墙进行补充。

IPS就像“侦察兵”,专门深入网络数据内部,查找它认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载以便事后分析。

IPS对数据流的检测流程: 数据流通过IPS,首先会进行数据重组,再针对重组后的数据流进行协议识别(如http、ftp或应用层协议等),接着对其进行特征分析,分析是否存在攻击的特征动作或病毒的某种特性,根据分析结果进行策略定制,检验是否为恶意流量。如果数据流不是恶意流量,那么就将其继续转发出去;如果是恶意流量或可疑流量,那么对其进行限流甚至阻断操作。

IPS还会结合应用程序或网络传输中的异常情况,来辅助识别入侵与攻击。比如,用户或程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序的利用等现象,都属于异常情况的范畴。

总结一下:IPS会对明确判断的攻击行为、危害网络和数据的恶意行为,进行检测与防御,降低或减免用户处理异常状况的资源投入,是一种侧重于风险控制的安全产品。

IPS检测原理图

小安: 明白什么是IPS了吗?

小白: 清清楚楚!它就像网络中的卡口,数据流要进网就得出示“健康码”。 但是,IPS检测攻击行为时,具体是怎么匹配攻击特征的呢?

小安: 这个呀,等我下次再跟你详细说说……

标签: 杀毒软件