入侵防範

互聯網的安全已經成了重中之重的問題，面對着可(kě)能遭到的各種攻擊。繼互聯網防火(huǒ)牆、入侵檢測IDS系統後，又出現了入侵防禦IPS系統。那(nà)麽究竟入侵防禦IPS系統為(wèi)何物呢？它又是如何分類和(hé)應用的呢？本次的基礎知識小(xiǎo)貼士就為(wèi)您講述究竟何謂入侵防禦IPS系統。

入侵防禦IPS系統(IPS: Intrusion Prevention System)是電(diàn)腦(nǎo)網路安全設施，是對防病毒軟件（Antivirus Programs）和(hé)防火(huǒ)牆(Packet Filter, Application Gateway)的補充。 入侵防禦IPS系統(Intrusion-prevention system)是一部能夠監視(shì)網絡或網絡設備的網絡資料傳輸行(xíng)為(wèi)的計(jì)算(suàn)機網絡安全設備，能夠即時(shí)的中斷、調整或隔離一些(xiē)不正常或是具有(yǒu)傷害性的網絡資料傳輸行(xíng)為(wèi)。

随着電(diàn)腦(nǎo)的廣泛應用和(hé)網路的不斷普及，來(lái)自網路內(nèi)部和(hé)外部的危險和(hé)犯罪也日益增多(duō)。20年前，電(diàn)腦(nǎo)病毒(電(diàn)腦(nǎo)病毒)主要通(tōng)過軟盤傳播。後來(lái)，用戶打開(kāi)帶有(yǒu)病毒的電(diàn)子信函附件，就可(kě)以觸發附件所帶的病毒。以前，病毒的擴散比較慢，防毒軟體(tǐ)的開(kāi)發商有(yǒu)足夠的時(shí)間(jiān)從容研究病毒，開(kāi)發防病毒、殺病毒軟體(tǐ)。而今天，不僅病毒數(shù)量劇(jù)增，質量提高(gāo)，而且通(tōng)過網路快速傳播，在短(duǎn)短(duǎn)的幾小(xiǎo)時(shí)內(nèi)就能傳遍全世界。有(yǒu)的病毒還(hái)會(huì)在傳播過程中改變形态，使防毒軟體(tǐ)失效。

網路入侵方式越來(lái)越多(duō)，有(yǒu)的充分利用防火(huǒ)牆放行(xíng)許可(kě)，有(yǒu)的則使防毒軟體(tǐ)失效。比如，在病毒剛進入網路的時(shí)候，還(hái)沒有(yǒu)一個(gè)廠家(jiā)迅速開(kāi)發出相應的辨認和(hé)撲滅程序，于是這種全新的病毒就很(hěn)快大(dà)肆擴散、肆虐于網路、危害單機或網路資源，這就是所謂Zero Day Attack。

入侵防禦IPS系統也像入侵偵查系統一樣，專門(mén)深入網路數(shù)據內(nèi)部，查找它所認識的攻擊代碼特征，過濾有(yǒu)害數(shù)據流，丢棄有(yǒu)害數(shù)據包，并進行(xíng)記載，以便事後分析。除此之外，更重要的是，大(dà)多(duō)數(shù)入侵防禦IPS系統同時(shí)結合考慮應用程序或網路傳輸中的異常情況，來(lái)輔助識别入侵和(hé)攻擊。比如，用戶或用戶程序違反安全條例、數(shù)據包在不應該出現的時(shí)段出現、作(zuò)業系統或應用程序弱點的空(kōng)子正在被利用等等現象。入侵防禦IPS系統雖然也考慮已知病毒特征，但(dàn)是它并不僅僅依賴于已知病毒特征。

應用入侵防禦IPS系統的目的在于及時(shí)識别攻擊程序或有(yǒu)害代碼及其克隆和(hé)變種，采取預防措施，先期阻止入侵，防患于未然。或者至少(shǎo)使其危害性充分降低(dī)。入侵防禦IPS系統一般作(zuò)為(wèi)防火(huǒ)牆和(hé)防病毒軟體(tǐ)的補充來(lái)投入使用。在必要時(shí)，它還(hái)可(kě)以為(wèi)追究攻擊者的刑事責任而提供法律上(shàng)有(yǒu)效的證據。

網路入侵防禦IPS系統作(zuò)為(wèi)網路之間(jiān)或網路組成部分之間(jiān)的獨立的硬體(tǐ)設備，切斷交通(tōng)，對過往包裹進行(xíng)深層檢查，然後确定是否放行(xíng)。網路入侵防禦IPS系統藉助病毒特征和(hé)協議異常，阻止有(yǒu)害代碼傳播。有(yǒu)一些(xiē)網路入侵防禦IPS系統還(hái)能夠跟蹤和(hé)标記對可(kě)疑代碼的回答(dá)，然後，看誰使用這些(xiē)回答(dá)信息而請(qǐng)求連接，這樣就能更好地确認發生(shēng)了入侵事件。

根據有(yǒu)害代碼通(tōng)常潛伏于正常程序代碼中間(jiān)、伺機運行(xíng)的特點，單機入侵防禦IPS系統監視(shì)正常程序，比如Internet Explorer，Outlook，等等，在它們（确切地說，其實是它們所夾帶的有(yǒu)害代碼）向作(zuò)業系統發出請(qǐng)求指令，改寫系統文件，建立對外連接時(shí)，進行(xíng)有(yǒu)效阻止，從而保護網路中重要的單個(gè)機器(qì)設備，如伺服器(qì)、路由器(qì)、防火(huǒ)牆等等。這時(shí)，它不需要求助于已知病毒特征和(hé)事先設定的安全規則。總地來(lái)說，單機入侵防禦IPS系統能使大(dà)部分鑽空(kōng)子行(xíng)為(wèi)無法得(de)逞。我們知道(dào)，入侵是指有(yǒu)害代碼首先到達目的地，然後幹壞事。然而，即使它僥幸突破防火(huǒ)牆等各種防線，得(de)以到達目的地，但(dàn)是由于有(yǒu)了入侵防禦IPS系統，有(yǒu)害代碼最終還(hái)是無法起到它要起的作(zuò)用，不能達到它要達到的目的。