基本介紹中文名:入侵防禦系統mbth:入侵防禦系統別名:特洛伊馬表述:計算機病毒提出時間:2014應用學科:社會應用範圍:全球應用範圍:生命概念、網絡安全、成因、入侵防禦技術、系統類型、評估、產品實例、入侵防禦、Web安全、流量控制、互聯網監管、系統狀態、概念(入侵防禦系統)是計算機網絡安全設施,是對殺毒程序和應用網關的補充。入侵防禦系統是壹種能夠監控網絡或網絡設備的網絡數據傳輸行為,並能實時中斷、調整或隔離某些異常或有害的網絡數據傳輸行為的計算機網絡安全設備。網絡安全隨著計算機的廣泛應用和網絡的不斷普及,來自網絡內外的危險和犯罪也越來越多。20年前,計算機病毒主要通過軟盤傳播。之後,用戶可以通過打開帶有病毒的電子郵件附件來觸發附件中攜帶的病毒。以前病毒傳播比較慢,殺毒軟件的開發者有足夠的時間冷靜研究病毒,開發殺毒殺毒軟件。今天,病毒不僅數量急劇增加,質量也有所提高,並通過互聯網迅速傳播,短短幾個小時就能傳遍全球。有些病毒在傳播過程中還會改變形態,使殺毒軟件失效。目前,流行的攻擊程序和有害代碼如DoS(拒絕服務)、DDoS(分布式拒絕服務)、暴力攻擊、端口掃描、嗅探、病毒、蠕蟲、垃圾郵件、特洛伊木馬等。再加上軟件存在漏洞和缺陷來鉆漏洞做壞事,讓人防不勝防。網絡入侵的方式越來越多,有的充分利用防火墻釋放許可證,有的讓殺毒軟件失效。比如病毒剛進入網絡時,還沒有廠商迅速制定出相應的識別和消滅方案,於是這種全新的病毒迅速傳播,在網絡上肆虐,危及單臺電腦或網絡資源。這就是所謂的零日攻擊。防火墻可以根據IP地址或服務端口過濾數據包。但是,它不能對使用合法IP地址和連接端口的破壞活動做任何事情。因為防火墻很少深入包檢查內容。即使使用DPI技術,它本身也面臨許多挑戰。每個攻擊代碼都有自己的簽名,病毒通過其不同的特征彼此區分,也與正常的應用程序代碼區分。反病毒軟件通過存儲所有已知的病毒特征來識別病毒。在ISO/OSI網絡層次模型(見OSI模型)中,防火墻主要工作在第二至第四層,第四至第七層功能壹般較弱。殺毒軟件主要工作在第五層到第七層。為了彌補第四層和第五層之間的防火墻和殺毒軟件的差距,幾年前,壹個入侵檢測系統(IDS)在工業中投入使用。入侵檢測系統在發現異常情況後及時向網絡安全管理器或防火墻系統發出警報。不幸的是,災難往往已經形成。雖然亡羊補牢,猶未為晚,但防禦機制最好在傷害形成之前就提前發揮作用。隨後,作為入侵檢測系統的補充,入侵響應系統(IRS)應運而生,它可以在發現入侵時迅速做出反應,並自動采取措施予以制止。入侵防禦系統作為兩者的進壹步發展,吸取了它們的長處。入侵防禦系統和入侵檢測系統壹樣,深入到網絡數據中,尋找它所知道的攻擊代碼的特征,過濾有害數據流,丟棄有害數據包,並記錄下來供以後分析。此外,更重要的是,大多數入侵防禦系統還考慮了應用程序或網絡傳輸中的異常情況,以幫助識別入侵和攻擊。例如,用戶或用戶程序違反安全法規,數據包在不應該出現的時間出現,操作系統或應用程序的漏洞被利用。雖然入侵防禦系統也考慮了已知病毒的特征,但它並不僅僅依賴於已知病毒的特征。應用入侵防禦系統的目的是及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措施,提前阻止入侵,防患於未然。或者至少充分降低其危害性。入侵防禦系統壹般是作為防火墻和殺毒軟件的補充。必要時還能為追究打人者的刑事責任提供法律上有效的證據。原因A:串聯部署的防火墻可以攔截底層攻擊,但對應用層的深層攻擊無能為力。B: Bypass部署的IDS可以及時檢測到那些穿透防火墻的深度攻擊,作為防火墻的有益補充,但是很遺憾不能實時阻斷。C: IDS與防火墻聯動:通過IDS發現,通過防火墻攔截。但是至今沒有統壹的接口規範,越來越頻繁的“即時攻擊”(壹個會話就能達到的攻擊效果,如SQL註入、溢出攻擊等。),這使得IDS和防火墻聯動在實際應用中的效果並不顯著。這就是IPS產品的由來:壹種在線部署(防火墻式)的安全產品,可以防禦防火墻無法防禦的深度入侵威脅(入侵檢測技術)。因為用戶發現了壹些不可控的入侵威脅,這正是IDS的作用。入侵檢測系統(IDS)是壹種以風險管理為核心的安全產品,它對那些可能是入侵行為的異常數據進行檢測和報警,告知用戶網絡中的實時情況,並提供相應的解決方案和處理方法。入侵防禦系統(IPS)是壹種專註於風險控制的安全產品,通過檢測和防禦被明確判斷為攻擊並將對網絡和數據造成危害的惡意行為,減少或降低用戶處理異常情況的支出。這也解釋了IDS和IPS的關系,不是取代和互斥,而是相互配合:在IDS沒有部署的時候,我們只能憑感覺來判斷應該在哪裏部署什麽樣的安全產品。通過IDS的廣泛部署,可以了解當前網絡的實時情況,進壹步判斷在哪裏,使用何種安全產品(IPS等。)應該是根據這種情況部署的。入侵防禦技術*異常檢測。就像入侵檢測系統壹樣,入侵防禦系統知道正常數據和通常出現的數據之間的關系,並可以通過比較識別異常。*遇到動態代碼(ActiveX,JavaApplet,各種指令語言的腳本語言等。),先把它們放到沙盤裏,觀察它們的行為趨勢。如發現可疑情況,停止傳輸,禁止執行。*壹些入侵防禦系統將協議異常、傳輸異常和特征檢測結合起來,有效防止有害代碼通過網關或防火墻進入網絡。*基於內核的保護機制。用戶程序享有資源(如存儲區、輸入輸出設備、中央處理器等。)通過系統指令。入侵防禦系統可以攔截有害的系統請求。*保衛和保護圖書館、註冊表、重要文件和重要文件夾。系統類型投入使用的入侵防禦系統根據其用途可以進壹步分為兩種類型:HIPS(基於主機的入侵防禦系統)和NIPS(網絡入侵防禦系統)。網絡入侵防禦系統作為網絡之間或網絡組件之間的獨立硬件設備,切斷流量,對過去的包進行深入檢查,然後決定是否釋放。網絡入侵防禦系統通過病毒特征和異常協議來阻止有害代碼的傳播。有些網絡入侵防禦系統還可以對可疑代碼的答案進行跟蹤和標記,然後看誰使用這些答案請求連接,從而更好地確認入侵。根據有害代碼通常潛伏在正常程序代碼中間伺機運行的特點,單機入侵防禦系統對正常程序進行監控,如Inter Explorer、Outlook等。,並有效防止它們(確切地說,是它們攜帶的有害代碼)向操作系統發送請求指令、重寫系統文件和建立外部連接,從而保護網絡中重要的單機和設備,如服務器、路由器、防火墻等。此時,它不需要求助於已知的病毒特征和預設的安全規則。壹般來說,獨立的入侵防禦系統可以使大多數攻擊變得不可能。我們知道,入侵是指有害代碼先到達目的地,然後做壞事。但是,有害代碼即使有幸突破防火墻等各種防線,到達目的地,也因為入侵防禦系統的原因,無法發揮其應有的作用,達到預期的目的。2000年:2000年9月18日,Noorkice公司推出了業界首款IPS產品——BlackICE Guard。它首次在在線模式下使用基於旁路檢測的IDS技術,直接分析網絡流量並丟棄惡意數據包。2002 ~ 2003年:這壹時期IPS發展迅速。當時,隨著產品的不斷發展和市場的認可,歐美壹些大型安全公司通過收購小公司來獲取IPS技術,推出自己的IPS產品。比如ISS收購Neurkice,發布Proventia;網屏公司收購OneSecure公司,推出網屏-IDP;;邁克菲收購Intruvert,推出IntruShield。思科、賽門鐵克、TippingPoint等公司也發布了IPS產品。2005年9月,呂蒙科技發布了國內首個擁有完全自主知識產權的IPS產品。2007年,聯想網禦、啟明星辰、天榮信等國內安全公司通過技術合作和OEM方式發布了IPS產品。評估對於蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等越來越多的混合威脅和黑客攻擊,不僅要有效檢測各種類型的攻擊,還要降低攻擊的影響,從而保證業務系統的連續性和可用性。壹個優秀的網絡入侵防禦系統應該具備以下特征:●滿足高性能的要求,提供強大的分析和處理能力,保證正常網絡通信的質量;●針對各類攻擊提供實時檢測和防禦功能,具備豐富的訪問控制能力,在任何未授權活動開始前發現攻擊,避免或減緩攻擊可能給企業帶來的損失;準確識別各類網絡流量,降低漏檢率和誤報率,避免影響正常業務通信;●全面精準的流量控制功能,確保企業關鍵業務的持續穩定運行;●豐富的高可用性,提供BYPASS(硬件、軟件)、HA等可靠性保障措施;●可擴展的多鏈路IPS防護能力,避免不必要的重復安全投入;●提供靈活的部署模式,支持在線模式和旁路模式部署,第壹時間將攻擊阻擋在企業網絡之外,還支持部署旁路模式進行攻擊檢測,適合不同客戶的需求;●支持分層部署和集中管理,滿足不同規模網絡的使用和管理需求。產品示例網絡入侵防禦系統是同類網絡入侵防禦系統產品的經典示例。該產品高度集成了高性能、高安全性、高可靠性和易操作的特點。產品內置先進的Web信譽機制,具備深度入侵防禦、精細流量控制、全面用戶上網行為監管等多項功能,可為用戶提供深度攻擊防禦和帶寬保護的完美價值體驗。入侵防禦主動實時攔截黑客攻擊、蠕蟲、網絡病毒、後門木馬、D.o.S等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序受損或宕機。Web安全是基於對互聯網網站的檢測結果,結合URL信譽評估技術,保護用戶在訪問帶有木馬等惡意代碼的網站時免受侵害,及時有效地攔截Web威脅。流量控制阻斷所有非授權用戶的流量,管理合法網絡資源的利用,有效保障關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬,不斷提升企業IT產出和盈利能力。互聯網監管對IM即時通訊、P2P下載、網絡遊戲、網絡視頻、網絡股票交易等網絡行為進行全面監控和管理,幫助企業識別和限制未經授權的網絡流量,從而更好地實施其安全策略。近年來系統IPS的現狀越來越普遍,尤其是供應商在處理NAC市場的早期挑戰時,例如意識部署和可用性困難。目前,大多數大型組織已經全面部署了IPS,但在使用NAC之前,這些解決方案在壹定程度上受限於防止公司網絡中的新攻擊。您可以配置所有IPS檢測器來中斷網絡中的惡意流量或其他不必要的流量。例如,假設特定終端對公司數據中心的應用服務器發起攻擊,IPS檢測到流量是惡意的,那麽IPS可以通過配置的策略中斷流量。雖然這種回應已經足夠了,但在某些情況下,您可能希望進壹步防止未來對網絡的攻擊。NAC可以幫助您從IPS設備獲取信息,並在發生攻擊或事故時使用這些信息來處理最終用戶訪問。