新聞中心

EEPW首頁 > 模擬技術 > 設計應用 > 入侵預防系統(tǒng)(IPS)工作原理及技術特性

入侵預防系統(tǒng)(IPS)工作原理及技術特性

作者: 時間:2011-06-10 來源:網絡 收藏
IPS實現實時檢查和阻止入侵的原理在于IPS擁有數目眾多的過濾器,能夠防止各種攻擊。當新的攻擊手段被發(fā)現之后,IPS就會創(chuàng)建一個新的過濾器。IPS數據包處理引擎是專業(yè)化定制的集成電路,可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發(fā)起攻擊,IPS能夠從數據流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進行檢查,不能檢測應用層的內容。防火墻的*濾技術不會針對每一字節(jié)進行檢查,因而也就無法發(fā)現攻擊活動,而IPS可以做到逐一字節(jié)地檢查數據包。所有流經IPS的數據包都被分類,分類的依據是數據包中的報頭信息,如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續(xù)前進,包含惡意內容的數據包就會被丟棄,被懷疑的數據包需要接受進一步的檢查。

  針對不同的攻擊行為,IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則,為了確保準確性,這些規(guī)則的定義非常廣泛。在對傳輸內容進行分類時,過濾引擎還需要參照數據包的信息參數,并將其解析至一個有意義的域中進行上下文分析,以提高過濾準確性。

  過濾器引擎集合了流水和大規(guī)模并行處理硬件,能夠同時執(zhí)行數千次的數據*濾檢查。并行過濾處理可以確保數據包能夠不間斷地快速通過系統(tǒng),不會對速度造成影響。這種硬件加速技術對于IPS具有重要意義,因為傳統(tǒng)的軟件解決方案必須串行進行過濾檢查,會導致系統(tǒng)性能大打折扣。

  


  IPS技術特征

  嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,并對該數據流的剩余部分進行攔截。

  深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。

  入侵特征庫:高質量的入侵特征庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特征庫,并快速應用到所有傳感器。

  高效處理能力:IPS必須具有高效處理數據包的能力,對整個網絡性能的影響保持在最低水平。



評論


相關推薦

技術專區(qū)

關閉