网络安全–安全设备（三）IPS

大家好，欢迎来到IT知识分享网。

一、IPS基础

（1）IPS是什么？

入侵防御系统（IPS）是一种网络安全设备，旨在监视网络流量并根据预定义的规则或策略检测和阻止可能的网络攻击。IPS可以部署在关键节点如网络边界、数据中心、云环境、边界防火墙等位置部署，以防止来自外部和内部网络的攻击。

（2）入侵防御系统（IPS）的底层原理

1. 流量监控：IPS系统首先对网络流量进行实时监控，收集并分析网络中传输的数据包，以识别网络流量的行为特征，例如协议类型、端口号、数据包大小、源和目的地址等。
2. 攻击检测：IPS设备使用签名数据库来比对已知的攻击模式，这些签名类似于病毒定义文件，检测可能的网络攻击行为。例如网络扫描、DDoS攻击、SQL注入攻击、漏洞利用、缓冲区溢出攻击、木马、蠕虫等等。IPS可以使用特定的签名或启发式算法来检测攻击，也可以利用机器学习等先进技术进行更复杂的分析。
3. 攻击阻止：一旦IPS检测到潜在的攻击行为，它会立即采取行动来阻止攻击。这些措施可能包括丢弃攻击数据包、阻止攻击源地址的进一步通信等。
4. 漏洞管理：防止攻击者利用关键漏洞进行攻击，例如Apache Struts、Drupal、远程访问、VPN、Microsoft Exchange、Microsoft SMB、操作系统、浏览器和IoT系统中的关键漏洞。IPS还可以对系统中已知的漏洞进行管理，通过修补这些漏洞来减少攻击者利用它们进行攻击的机会。
5. 日志记录和分析：IPS系统会记录和分析网络流量和事件日志，这有助于安全团队识别网络攻击和异常行为，并提供相关的安全报告和警报。

总的来说，IPS是一种重要的网络安全工具，主要实现了防止攻击、检测网络流量、监测系统调用和文件、自动阻止攻击、提供高网络和系统安全性、辅助安全管理（IPS可以提供详细的安全事件报告和日志，辅助安全管理人员进行安全事件的分析和管理。）

（3）IPS工作流程

IPS（入侵防御系统）的工作流程通常包括以下几个关键步骤：

1. 流量捕获：IPS系统首先需要捕获网络流量。这可以通过将IPS设备部署在网络的关键节点上实现，如网络边界、服务器前端或内部网络段。
2. 流量分析：捕获到的流量会被IPS系统分析。这一步骤涉及到对数据包的深入检查，包括但不限于源地址、目的地址、端口号、协议类型以及负载内容。
3. 签名匹配：IPS系统会使用预定义的攻击签名数据库与捕获到的数据包进行匹配。这些签名代表了已知的攻击模式或恶意行为。
4. 异常检测：除了基于签名的匹配，IPS还可以使用异常检测技术来识别不符合正常网络行为模式的流量。这可能涉及到行为分析、统计分析或其他启发式方法。
5. 攻击识别：结合签名匹配和异常检测的结果，IPS系统识别出潜在的攻击行为。
6. 响应机制：一旦检测到攻击，IPS系统会根据预设的策略自动响应。响应措施可能包括阻断攻击流量、重定向流量、向管理员发送警报、记录事件日志等。
7. 日志记录：所有检测到的攻击和采取的响应措施都会被记录在日志中，供安全分析师进行进一步的审查和分析。
8. 更新和维护：为了保持IPS系统的有效性，需要定期更新攻击签名数据库和调整检测策略，以应对新的威胁和攻击技术。
9. 报告和通知：IPS系统可以生成安全报告，并向网络管理员或安全团队发送通知，以便他们可以采取进一步的行动或进行安全审计。
10. 策略优化：根据日志分析和安全团队的反馈，IPS的策略和规则可能会被优化，以减少误报和提高检测准确性。

整个工作流程是动态的，需要不断地调整和优化，以适应不断变化的网络威胁环境。通过这种连续的监控、分析、响应和报告过程，IPS系统能够有效地提高网络的安全性。

（4）IPS威胁防范方法

• 阻止恶意流量
  IPS 可能会终止用户的会话、阻止特定的 IP 地址，甚至阻止发往目标的所有流量。一些 IPS 可以将流量重定向到蜜罐 (honeypot)，这是一种诱饵式资产，使黑客认为他们已经成功，而实际上 SOC 正在监视他们。
  
• 删除恶意内容
  IPS 可以允许流量继续，但清除危险部分，例如从流中丢弃恶意数据包或从电子邮件中删除恶意附件。
  
• 触发其他安全设备
  IPS 可能会促使其他安全设备采取行动，例如更新防火墙规则以阻止威胁，或更改路由器设置以阻止黑客到达目标。
  
• 执行安全政策
  某些 IPS 可以防止攻击者和未经授权的用户执行任何违反公司安全策略的行为。例如，如果用户尝试将不应离开的数据库中的敏感信息传输出去，IPS 就会阻止它们。
  

（6）IPS和IDS的区别

入侵检测系统（Intrusion Detection System，IDS）是入侵检测技术发展初期提出的产品形态，和入侵防御系统主要差别如下：

（1）部署方式：IDS通常采用旁路方式进行部署，并不参与数据流的转发，需要将所有所关注的流量都必须镜像到IDS端口上；而IPS通常采用直路方式串联部署在网络中，数据流需要经过IPS处理后，再进行转发。

（2）实现功能：IDS仅仅是一种检测设备，它自身并不能阻挡攻击，只能起到报警的作用，如果需要对攻击进行防御，需要与防火墙进行联动，由防火墙上的安全策略阻挡攻击行为；而IPS可以对攻击行为直接进行检测和处理，不需要其他网络设备配合。

（3）响应速度：IDS通过镜像数据流方式检测攻击行为，在检测的同时，数据流已经或者正在被网络设备转发，无论IDS通过报警或者防火墙联动方式对攻击行为进行处理，都是一种事后处理方式，对于单数据包攻击行为往往力不从心，无能为力；而IPS则是对数据包先进行安全检查，由安全检查的结果再确定数据包的处理情况，能做到及时响应和处理。

总之，IDS设备不会对入侵行为采取即使动作，是一种侧重于风险管理的安全机制。当前华为提供的专业入侵防御设备和具备入侵防御功能的防火墙，都同时具备IDS和IPS功能，管理员可根据实际组网需要进行选择。

二、IPS 设备分类

（1）IPS 设备分类

（2）主机入侵防御系统（Host intrusion prevention system，HIPS），HIPS安装在终端上即单个主机软件，仅检测该设备进出方向的流量，通常与NIPS结合使用。

（3）网络行为分析（Network behavior analysis，NBA），NBA用于分析网络流量，通过检测异常流量，发现新的恶意软件或零日漏洞。

（4）无线入侵防御系统（Wireless intrusion prevention system，WIPS），WIPS用于扫描Wi-Fi网络中是否有未经授权的访问，并从网络中删除未经授权的设备。

（2）IPS 和其他安全解决方案

虽然 IPS 可作为独立工具使用，但它们旨在与其他安全解决方案紧密集成，作为整体网络安全系统的一部分。

• IPS 和 SIEM（安全信息和事件管理）
  IPS 警报通常会传输到组织的 SIEM，在那里它们可以与来自其他安全工具的警报和信息合并到单个集中式仪表板中。将 IPS 与 SIEM 集成，使安全团队能够通过额外的威胁情报来丰富 IPS 警报、过滤掉错误警报并跟踪 IPS 活动，以确保成功阻止威胁。SIEMS 还可以帮助 SOC 协调来自不同类型 IPS 的数据，因为许多组织使用不止一种类型的 IPS。
  
• IPS 和 IDS（入侵检测系统）
  如前所述，IPS 是从 IDS 发展而来的，并且具有许多相同的功能。虽然一些组织可能使用单独的 IPS 和 IDS 解决方案，但大多数安全团队部署单一集成解决方案，提供强大的检测、日志、报告和自动威胁防护。许多 IPS 使安全团队能够关闭预防功能，从而允许它们在组织需要时充当纯粹的 IDS。
  
• IPS 和防火墙
  IPS 充当防火墙后面的第二道防线。防火墙会阻止外围的恶意流量，而 IPS 会拦截任何设法突破防火墙并进入网络的流量。有些防火墙，特别是下一代防火墙，内置了 IPS 功能。
  

三、IPS在常见设备中的角色定位

WAF（Web应用程序防火墙） – 建筑物的入口大门保安的角色

IDS（入侵检测系统） – 建筑物内部的安全巡逻队

IPS（入侵防御系统） – 建筑物内部的监控系统和安全团队

VPN（虚拟专用网络） – 建筑物内部的隧道系统

IDS（入侵检测系统）：可比作为建筑物内部的安全巡逻队。这支巡逻队定期巡逻，观察建筑物内外是否有不寻常的活动，然后报告给安全团队。它们不干预，但提供了及时的警报，就像IDS监视网络流量并生成警报，等待安全团队采取措施。

IPS（入侵防御系统）：类似于建筑物内部的监控系统和安全团队，监控系统会检查建筑物内部的每一个房间和走廊，以及每个人的行为。如果有人在建筑物内部做出不寻常的行为，监控系统会立即触发警报，并通知安全团队采取行动，就像IPS检测和阻止内部网络的恶意行为。

VPN（虚拟专用网络）：相当于建筑物内部的隧道系统。它们允许远程员工或分支机构通过安全的通道直接连通到建筑物内部，就像VPN允许用户通过加密通道连接到内部网络，确保数据的机密性和完整性。