网工日记：IPS--入侵防御-优快云博客

本文链接：https://blog.youkuaiyun.com/2402_86034383/article/details/144294664

IPS 基本概念
- 定义：IPS（Intrusion Prevention System）即入侵防御系统，是一种智能化的网络安全设备，能够实时监测网络流量，并主动对入侵行为进行识别、阻止和防御，是网络安全防护体系中的重要组成部分。
- 工作原理：IPS 基于一系列的安全策略和检测规则，对通过它的网络数据包进行深度检测。它采用了多种先进的检测技术，如特征检测、行为分析、协议分析等，当发现数据包中存在入侵迹象时，立即采取行动，如丢弃数据包、阻断网络连接、重置会话等，从而防止入侵行为对网络造成损害。
- 与防火墙的区别：防火墙主要基于规则对网络流量进行访问控制，如允许或禁止某些 IP 地址、端口之间的通信，侧重于网络边界的访问控制；而 IPS 不仅能进行访问控制，还能深入分析网络数据包的内容，检测并阻止复杂的入侵行为，如应用层攻击、恶意代码注入等，提供更精细的安全防护。
IPS 的检测技术
- 特征检测
  - 原理：这是 IPS 最常用的检测技术之一。它通过预先定义的攻击特征来识别入侵行为。安全厂商和研究人员会对已知的攻击手段（如病毒、蠕虫、黑客工具等）进行分析，提取出这些攻击的特征码，如特定的字节序列、协议格式、命令组合等。IPS 会将接收到的网络数据包与这些特征码进行比对，如果匹配成功，则判定为入侵行为。
  - 应用场景：对于检测已知的、具有明确特征的攻击非常有效，如常见的 SQL 注入攻击（通过检测 SQL 命令中的恶意语句）、缓冲区溢出攻击（通过检测程序代码中的溢出特征）等。
- 行为分析
  - 原理：IPS 通过观察网络中的正常行为模式，建立行为基线，然后分析当前行为是否偏离正常范围。它可以从多个维度进行行为分析，如流量模式、用户操作习惯、系统资源使用情况等。例如，一个用户通常在每天的工作时间内访问公司内部的特定服务器，且数据传输量相对稳定，如果在非工作时间出现大量的数据传输，或者对其他异常服务器的访问，IPS 就可能判定为异常行为。
  - 应用场景：适用于检测未知的、隐蔽的攻击，特别是那些没有明显特征码的攻击，如高级持续性威胁（APT）。它还可以用于检测内部用户的异常操作，如内部人员的违规数据访问或恶意破坏行为。
- 协议分析
  - 原理：IPS 会对网络协议（如 TCP/IP、HTTP、SMTP 等）进行深度解析，检查协议的合规性和完整性。它了解每个协议的标准格式、状态转换规则和正常操作流程，通过分析数据包在协议层面的内容，识别违反协议规范的行为。例如，在 HTTP 协议中，检查请求头和请求体是否符合 HTTP 标准，是否存在非法的参数或恶意的脚本。
  - 应用场景：用于检测基于协议漏洞的攻击，如 HTTP 协议中的慢 HTTP 攻击、SSL/TLS 协议中的中间人攻击等。它可以在协议层面对网络流量进行过滤和净化，确保网络通信的合法性。
IPS 的功能模块
- 攻击检测模块
  - 这是 IPS 的核心模块，负责运用各种检测技术对网络流量进行实时监测。它会对数据包进行解包、协议分析和内容检查，将检测结果与预设的安全策略和规则进行比较，判断是否存在入侵行为。为了提高检测效率和准确性，该模块通常会采用并行处理技术和优化的算法。
- 防御响应模块
  - 当攻击检测模块发现入侵行为后，防御响应模块会立即采取行动。它可以采取多种防御措施，如丢弃包含攻击特征的数据包、阻断发起攻击的网络连接、向管理员发送警报通知、动态修改防火墙规则以阻止后续攻击等。防御响应的速度和准确性是衡量 IPS 性能的重要指标之一。
- 策略管理模块
  - 负责制定、管理和更新 IPS 的安全策略和检测规则。管理员可以通过该模块配置 IPS 的检测敏感度、定义允许和禁止的行为、设置响应方式等。同时，策略管理模块还可以与安全情报平台进行联动，及时获取最新的安全威胁信息，并更新检测规则，以适应不断变化的网络安全环境。
- 日志与报表模块
  - 用于记录 IPS 的工作情况，包括检测到的攻击事件、采取的防御措施、网络流量的统计信息等。这些日志数据对于事后分析、安全审计和合规性检查非常重要。报表模块可以根据日志数据生成各种形式的报表，如攻击类型统计报表、流量趋势报表等，帮助管理员直观地了解网络安全状况。
IPS 的工作流程
- 流量捕获：IPS 通过网络接口（如物理网卡或虚拟接口）捕获流经它的网络流量。为了确保能够检测到所有潜在的入侵行为，IPS 通常需要部署在网络的关键位置，如网络边界、服务器区域的入口等，以获取完整的网络流量。
- 数据包预处理：捕获到的网络流量是以数据包的形式存在的，IPS 会对这些数据包进行预处理，包括解包、协议解码、数据提取等操作。这一步骤是为了方便后续的检测分析，将数据包的内容转换为可以直接进行分析的格式。
- 检测分析：运用上述的检测技术，对预处理后的数据包进行深度分析。这一过程可能涉及到复杂的算法和规则匹配，例如，特征检测会将数据包中的内容与已知的攻击特征进行比对，行为分析会将当前行为与正常行为基线进行对比，协议分析会检查协议的合规性。
- 防御决策与响应：如果检测到入侵行为，IPS 会根据预设的安全策略和规则做出防御决策，选择合适的防御措施，如丢弃数据包、阻断连接等。同时，它会记录相关的攻击信息，并通过日志与报表模块进行存储和展示，还会向管理员发出警报通知。
- 策略更新与学习：IPS 会定期或根据安全情报更新自己的检测策略和规则。一些高级的 IPS 还具有自我学习功能，能够根据历史攻击数据和网络行为模式，不断优化检测算法和策略，提高对新型攻击的检测能力。
IPS 的部署方式
- 串联部署
  - 原理：IPS 串联在网络链路中，网络流量必须经过 IPS 才能到达目标网络或设备。这种部署方式使得 IPS 能够直接对流量进行处理，一旦发现入侵行为，可以立即阻断，保证攻击不会到达目标。
  - 优点：能够提供最直接的安全防护，对入侵行为的阻止效果最好。可以对网络流量进行细粒度的控制，如对恶意流量进行过滤和清洗。
  - 缺点：如果 IPS 出现故障，可能会导致网络中断，因此对 IPS 的可靠性要求较高。由于需要对所有流量进行处理，可能会产生一定的性能瓶颈，特别是在高流量环境下。
- 旁路部署
  - 原理：IPS 通过镜像端口或网络分流设备获取网络流量，它不直接影响网络的正常通信。在旁路部署模式下，IPS 主要用于监测和报警，当发现入侵行为时，可以通过与其他网络设备（如防火墙、交换机）的联动来进行防御，如发送指令给防火墙阻断攻击。
  - 优点：对网络的正常运行没有直接影响，即使 IPS 出现故障，网络仍然可以正常通信。可以方便地进行网络安全监测和分析，为网络安全策略的制定提供数据支持。
  - 缺点：无法直接对入侵行为进行实时阻断，需要依赖其他设备进行联动防御，可能会存在一定的延迟，导致部分攻击可能会在防御措施生效前已经到达目标。
IPS 的应用场景
- 企业网络防护：在企业网络的边界和内部关键区域（如数据中心、服务器群组）部署 IPS，可以有效防止外部黑客的攻击和内部用户的违规操作。它可以检测和阻止各种类型的网络攻击，如病毒传播、恶意软件入侵、网络钓鱼等，保护企业的核心资产和敏感信息。
- 金融机构安全保障：金融行业涉及大量的资金交易和客户隐私信息，对网络安全要求极高。IPS 可以在金融网络中对网络流量进行实时监控，防止针对网上银行系统、证券交易系统等的攻击，如防止 SQL 注入攻击篡改交易数据、阻止 DDoS 攻击导致服务中断等，确保金融业务的安全和稳定。
- 数据中心安全运营：数据中心是企业数据的集中存储和处理场所，部署 IPS 可以对进出数据中心的流量进行严格的安全检查。它可以保护服务器、存储设备等免受各种网络攻击，同时还可以监测内部虚拟机之间的流量，防止横向移动攻击，保障数据中心的安全运营。
- 云计算环境安全防护：在云计算环境中，多个用户共享计算资源，安全风险较高。IPS 可以用于监测云平台中的网络活动和虚拟机的行为，防止针对云租户的攻击和恶意活动。它可以检测和阻止诸如恶意软件在云主机之间的传播、对云存储资源的非法访问等攻击行为，为云计算服务提供安全保障。