網(wǎng)域入侵預防系統(tǒng)(IPS: Intrusion Prevension System)是保護內(nèi)網(wǎng)服務器和內(nèi)網(wǎng)電腦網(wǎng)絡安全設備,是對防病毒和傳統(tǒng)防火墻的補充。入侵預防系統(tǒng)功能是一種能夠監(jiān)視網(wǎng)絡或網(wǎng)絡設備的網(wǎng)絡資料傳輸?shù)男袨椤D軌蚣磿r的中斷、調整或隔離一些不正?;蚴蔷哂袀π诺镁W(wǎng)絡資料傳輸行為。
隨著企業(yè)電腦的廣泛應用和OA、ERP、財務系統(tǒng)的服務器,來自網(wǎng)絡內(nèi)部和外部的危險和犯罪也日益增多。黑客通過傳輸帶有病毒的文件,攻擊企業(yè)內(nèi)部網(wǎng)絡,給公司帶來嚴重的損失。20年前,電腦病毒主要通過軟盤傳播。后來,用戶打開帶有病毒的電子信函附件,就可以觸發(fā)附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟體的開發(fā)商有足夠的時間從容研究病毒,開發(fā)防病毒、殺病毒軟體。而今天,不僅病毒數(shù)量劇增,質量提高,而且通過網(wǎng)絡快速傳播,在短短的幾小時內(nèi)就能傳遍全世界。有的病毒還會在傳播過程中改變形態(tài),使防毒軟體失效。
*目前攻擊服務器的主流程序,有Scan漏洞攻擊、Shellcode漏洞攻擊、System漏洞攻擊、Database漏洞攻擊、DNS漏洞攻擊、FTP漏洞攻擊、Mail漏洞攻擊、Media漏洞攻擊、Network Device漏洞攻擊、Telnet漏洞攻擊、Tftp漏洞攻擊、Web漏洞攻擊。(如下圖所示)
*目前針對PC客戶端攻擊的主流程序,有Application漏洞攻擊、File漏洞攻擊、Scan漏洞攻擊、Shellcode漏洞攻擊、System漏洞攻擊、Web ActiveX漏洞攻擊、Web Browse漏洞攻擊。(如下圖所示)
*還有針對一些協(xié)議防止攻擊暴力破解,有FTP、IMAP Standard、IMAP TLS、MySQL、POP3 Standard、POP3 TLS、SMTP Standard、SSH、Telnet等的防護。(如下圖所示)
*還有針對間諜軟件做防護,有Backdoor漏洞攻擊、Spyware漏洞攻擊、Trojan漏洞攻擊、Worm漏洞攻擊、Botnet。(如下圖所示)
防火墻可以根據(jù)英特網(wǎng)地址或服務端口過濾數(shù)據(jù)包。但是,它對于利用合法網(wǎng)址和端口而從事的破壞活動則無能為力。因為,防火墻極少深入數(shù)據(jù)包檢查內(nèi)容。
每種攻擊代碼都具有只屬于它自己的特征 , 病毒之間通過各自不同的特征互相區(qū)別,同時也與正常的應用程序代碼相區(qū)別。除病毒軟體就是通過儲存所有已知的病毒特征來辨認病毒的。
在ISO/OSI網(wǎng)絡層次模型中,防火墻主要在第二到第四層起作用,而它的作用在第四到第七層一般很微弱。而病毒軟體主要在第五到第七層起作用。為了彌補防火墻和病毒軟體二者在第四到第五層之間留下的空檔,幾年前,網(wǎng)域已經(jīng)有入侵防御系統(tǒng)投入使用。入侵防御系統(tǒng)在發(fā)現(xiàn)異常情況后及時向網(wǎng)路安全管理人員發(fā)出警報。并且作為對入侵偵迅速作出反應,并自動采取阻止措施,保護內(nèi)網(wǎng)服務器和PC電腦。
應用入侵預防系統(tǒng)的目的在于及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵預防系統(tǒng)一般作為防火墻和防病毒軟體的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據(jù)。
網(wǎng)域入侵預防系統(tǒng)作為網(wǎng)絡之間或網(wǎng)絡組成部分之間的獨立的硬體設備,切斷交通,對過往包裹進行深層檢查,然后確定是否放行。網(wǎng)域入侵預防系統(tǒng)借助病毒特征和協(xié)議異常,阻止有害代碼傳播。有一些網(wǎng)絡入侵預防系統(tǒng)還能夠跟蹤和標記對可疑代碼的回答,然后,看誰使用這些回答信息而請求連接,這樣就能更好地確認發(fā)生了入侵事件。
根據(jù)有害代碼通常潛伏于正常程序代碼中間、伺機運行的特點,單機入侵預防系統(tǒng)監(jiān)視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業(yè)系統(tǒng)發(fā)出請求指令,改寫系統(tǒng)文件,建立對外連接時,進行有效阻止,從而保護網(wǎng)路中重要的單個機器設備,如伺服器、路由器、防火墻等等。這時,它不需要求助于已知病毒特征和事先設定的安全規(guī)則??偟貋碚f,單機入侵預防系統(tǒng)能使大部分鉆空子行為無法得逞。我們知道,入侵是指有害代碼首先到達目的地,然后干壞事。然而,即使它僥幸突破防火墻等各種防線,得以到達目的地,但是由于有了入侵預防系統(tǒng),有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。