什么是IPS？IPS和IDS有什么区别？

原创于 2025-09-13 12:03:34 发布 · 696 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #面试 #php

网络安全同时被 3 个专栏收录

3154 篇文章

订阅专栏

程序员

3074 篇文章

订阅专栏

黑客

168 篇文章

订阅专栏

IPS（Intrusion Prevention System，入侵防御系统）是一种安全防御技术，可以对应用层攻击进行检测并防御。它通过分析网络流量来实时检测入侵行为，并执行相应的动作来阻断入侵行为，保护企业信息系统和网络免遭攻击。

1、IPS和IDS有什么区别？

IPS和IDS是两种旨在提高网络安全的技术，但它们在功能和使用场景等方面有所不同。

IDS是一种监测工具，能够检测网络中的可疑活动和安全威胁，并向管理员发出警告。它像是一个警报系统，告知可能存在的问题，但不会进行干预。

而IPS则更为积极，不仅能检测威胁，还会自动采取措施来阻止或减轻攻击的影响，类似于一个拥有自动反应能力的警卫。

2、IPS技术如何运作？

IPS通过以下两大功能协同检测，实现对入侵行为的精确识别和阻断，保护企业信息系统和网络免遭攻击。
• IPS特征匹配：通过对报文进行特征匹配来实时检测入侵行为，能够有效地识别跨站脚本、爬虫等攻击。
• SQL语义分析：通过对报文中的SQL语句进行语义分析，精确识别SQL注入类攻击。

3、IPS特征匹配

IPS功能通过应用层检测引擎对报文进行特征匹配来实时检测入侵行为，并基于IPS策略对报文进行处理。IPS策略中定义了对哪些IPS特征进行匹配，以及对匹配成功的报文执行的动作。

图1 IPS特征匹配处理流程

在这里插入图片描述

识别特征并下发识别结果

管理员需要先将特征加载到设备，为应用层检测引擎的特征匹配提供丰富的特征资源。应用层检测引擎对报文进行重组、解码、切分和协议解析等处理后，将报文与IPS特征进行匹配。当特征匹配成功时，会下发匹配结果到IPS业务模块。

图2 识别特征并下发识别结果

在这里插入图片描述
推导动作

IPS业务模块根据特征匹配结果，判断出特征在IPS策略中需要执行的动作。在IPS策略中，特征可能执行如下几类动作：

• IPS策略中指定特征的特例动作。
• IPS策略中所有特征统一执行的动作。
• IPS策略中指定特征的预定义动作。

动作优先级由高到低依次为：特例动作 > 统一动作 > 预定义动作。

图3 推导动作

在这里插入图片描述

执行动作

IPS业务模块根据动作推导结果，执行相应的动作：

• 如果报文只与一个IPS特征匹配成功，则执行推导出的动作。
• 如果报文与多个IPS特征匹配成功，则执行推导出的多个动作中优先级最高的动作。

IPS业务支持执行的动作包括重置、重定向、丢弃、允许、源阻断、报文捕获和记录日志。其中，动作优先级由高到低依次为：重置 > 重定向 > 丢弃 > 允许。对于源阻断、报文捕获、记录日志，只要匹配成功的特征中存在这些动作就会执行。

图4 执行动作

在这里插入图片描述

4、SQL语义分析

SQL语义分析功能通过对请求报文中的SQL语句进行词法、语法和语义分析来检测是否存在SQL注入攻击，并根据检测结果对报文进行相应的处理。相对于特征匹配功能仅匹配字符串而不懂程序本身，SQL语义分析功能可以理解程序语言，并在此基础之上检测出可疑流量。

图5 SQL语义分析检测

在这里插入图片描述

5、IPS技术如何与其他网络安全技术结合使用？

1. IPS技术与安全策略技术结合使用

IPS主要通过分析网络流量来检测入侵行为，并执行相应的动作来阻断入侵行为，但它无法阻止未经授权的网络访问。而安全策略技术则主要通过控制网络流量，阻止未经授权的访问，以保护网络的安全，但它无法阻止通过合法访问的入侵行为。

因此，这两种技术可以相互补充，安全策略可以基于源地址、目的地址、端口等信息过滤掉一些已知的恶意流量，而IPS技术可以进一步检测和处理潜在的入侵和攻击，共同提高网络安全。

图6 IPS技术与安全策略技术的结合使用

在这里插入图片描述

2. IPS技术与防病毒技术结合使用

IPS和防病毒技术都是网络安全的重要组成部分，但它们的侧重点有所不同。防病毒技术主要专注于检测和清除病毒文件。IPS技术则可以识别并处理更广泛的威胁，例如木马、僵尸网络、跨站脚本攻击、注入攻击等。

两种技术通常可以结合使用，防病毒技术保护企业内部数据免遭病毒的破坏、泄露和篡改，为企业内网的数据安全提供坚固的防御；IPS技术则保护网络环境免遭各类入侵和攻击。二者结合使用，可以更全面地防御来自不同渠道和层面的安全威胁，共同提升网络和系统的安全级别。

图7 IPS技术与防病毒技术结合使用

在这里插入图片描述

6、IPS技术的应用场景有哪些？

1. 边界部署，抵御外部攻击

设备部署在网络出口，实时检测并阻断黑客攻击流量，保证内网服务器和内网用户的安全。防御的典型攻击包括SQL注入、XSS攻击、webshell上传、weblogic、struts2和java反序列化等。

图8 边界部署

在这里插入图片描述
2. 内网部署，防止非法外联

设备部署在内网，实时检测并阻断异常流量，防止内网服务器非法外联、阻断内部恶意攻击、阻止已被入侵的主机在企业内部横向传播等，保证内部业务系统和内网主机的安全。防御的典型攻击包括MS17-010、挖矿病毒、内网渗透的横向攻击等。

图9 内网部署

在这里插入图片描述

题外话

黑客&网络安全如何学习

如果你也对网路安全技术感兴趣，但是又没有合适的学习资源，我可以把私藏的网安学习资料免费共享给你们，来看看有哪些东西。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，100多本网安电子书，最新学习路线图和工具安装包都有，不用担心学不全。
在这里插入图片描述