入侵預防系統

出自 MBA智库百科(https://wiki.mbalib.com/)

入侵預防系統(Intrusion Prevention System，IPS)

　　入侵預防系統是電腦網路安全設施，是對防病毒軟體（Antivirus Programs）和防火牆(Packet Filter, Application Gateway)的補充。 入侵預防系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的電腦網路設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

　　IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被髮現之後，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定製的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查，不能檢測應用層的內容。防火牆的*濾技術不會針對每一位元組進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一位元組地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

　　針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保準確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，並將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。

　　過濾器引擎集合了流水和大規模並行處理硬體，能夠同時執行數千次的數據*濾檢查。並行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義，因為傳統的軟體解決方案必須串列進行過濾檢查，會導致系統性能大打折扣。

　　嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，並對該數據流的剩餘部分進行攔截。

　　深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截。

　　入侵特征庫：高質量的入侵特征庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特征庫，並快速應用到所有感測器。

　　高效處理能力：IPS必須具有高效處理數據包的能力，對整個網路性能的影響保持在最低水平。