小安: 下個月中秋,你有出行計劃嗎?
小白: 沒想好呢,外出要準備檢查核酸、健康碼、行程碼、體溫……
小安: 哈哈別嫌多,嚴格的防疫政策才能保護咱們的安全。就像嚴格的IPS規(guī)則,時刻保護著網(wǎng)絡(luò)安全。
小白: 什么是IPS?
小安: 在網(wǎng)絡(luò)安全行業(yè),怎么能不知道它呢?來來,我給你說說IPS的發(fā)展史……
IPS的前世今生
IPS即入侵防御系統(tǒng),它能文能武,既能實時發(fā)現(xiàn)又能即刻阻斷各種入侵行為。自面世那天起,IPS就備受各行業(yè)用戶與網(wǎng)絡(luò)安全廠商的關(guān)注。通俗來講,我們在電腦中會安裝防火墻和殺毒軟件,可以把IPS理解為傳統(tǒng)防火墻和殺毒軟件的補充,它可以更有效地防止病毒入侵。
IPS的作用原理
IPS位于傳統(tǒng)防火墻和網(wǎng)絡(luò)設(shè)備之間,通過對數(shù)據(jù)包的檢測進行防御。它會檢查入網(wǎng)的數(shù)據(jù)包,確定數(shù)據(jù)包的真正用途,然后決定是否允許其進入內(nèi)網(wǎng)。
傳統(tǒng)防火墻可以攔截低層攻擊行為,但對應(yīng)用層的深層攻擊行為無能為力;它主要在二到四層起作用,在四到七層的作用一般很微弱。IPS在這方面對傳統(tǒng)防火墻進行補充。
IPS就像“偵察兵”,專門深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部,查找它認識的攻擊代碼特征,過濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包,并進行記載以便事后分析。
IPS對數(shù)據(jù)流的檢測流程: 數(shù)據(jù)流通過IPS,首先會進行數(shù)據(jù)重組,再針對重組后的數(shù)據(jù)流進行協(xié)議識別(如http、ftp或應(yīng)用層協(xié)議等),接著對其進行特征分析,分析是否存在攻擊的特征動作或病毒的某種特性,根據(jù)分析結(jié)果進行策略定制,檢驗是否為惡意流量。如果數(shù)據(jù)流不是惡意流量,那么就將其繼續(xù)轉(zhuǎn)發(fā)出去;如果是惡意流量或可疑流量,那么對其進行限流甚至阻斷操作。
IPS還會結(jié)合應(yīng)用程序或網(wǎng)絡(luò)傳輸中的異常情況,來輔助識別入侵與攻擊。比如,用戶或程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序的利用等現(xiàn)象,都屬于異常情況的范疇。
總結(jié)一下:IPS會對明確判斷的攻擊行為、危害網(wǎng)絡(luò)和數(shù)據(jù)的惡意行為,進行檢測與防御,降低或減免用戶處理異常狀況的資源投入,是一種側(cè)重于風險控制的安全產(chǎn)品。
IPS檢測原理圖
小安: 明白什么是IPS了嗎?
小白: 清清楚楚!它就像網(wǎng)絡(luò)中的卡口,數(shù)據(jù)流要進網(wǎng)就得出示“健康碼”。 但是,IPS檢測攻擊行為時,具體是怎么匹配攻擊特征的呢?
小安: 這個呀,等我下次再跟你詳細說說……
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!