入侵防範

互聯網的(de)安全已經成了(le／liǎo)重中之(zhī)重的(de)問題，面對着可能遭到(dào)的(de)各種攻擊。繼互聯網防火牆、入侵檢測IDS系統後，又出(chū)現了(le／liǎo)入侵防禦IPS系統。那麽究竟入侵防禦IPS系統爲(wéi / wèi)何物呢？它又是(shì)如何分類和(hé / huò)應用的(de)呢？本次的(de)基礎知識小貼士就(jiù)爲(wéi / wèi)您講述究竟何謂入侵防禦IPS系統。

入侵防禦IPS系統(IPS: Intrusion Prevention System)是(shì)電腦網路安全設施，是(shì)對防病毒軟件（Antivirus Programs）和(hé / huò)防火牆(Packet Filter, Application Gateway)的(de)補充。 入侵防禦IPS系統(Intrusion-prevention system)是(shì)一(yī / yì ／yí)部能夠監視網絡或網絡設備的(de)網絡資料傳輸行爲(wéi / wèi)的(de)計算機網絡安全設備，能夠即時(shí)的(de)中斷、調整或隔離一(yī / yì ／yí)些不(bù)正常或是(shì)具有傷害性的(de)網絡資料傳輸行爲(wéi / wèi)。

随着電腦的(de)廣泛應用和(hé / huò)網路的(de)不(bù)斷普及，來(lái)自網路内部和(hé / huò)外部的(de)危險和(hé / huò)犯罪也(yě)日益增多。20年前，電腦病毒(電腦病毒)主要(yào / yāo)通過軟盤傳播。後來(lái)，用戶打開帶有病毒的(de)電子(zǐ)信函附件，就(jiù)可以(yǐ)觸發附件所帶的(de)病毒。以(yǐ)前，病毒的(de)擴散比較慢，防毒軟體的(de)開發商有足夠的(de)時(shí)間從容研究病毒，開發防病毒、殺病毒軟體。而(ér)今天，不(bù)僅病毒數量劇增，質量提高，而(ér)且通過網路快速傳播，在(zài)短短的(de)幾小時(shí)内就(jiù)能傳遍全世界。有的(de)病毒還會在(zài)傳播過程中改變形态，使防毒軟體失效。

網路入侵方式越來(lái)越多，有的(de)充分利用防火牆放行許可，有的(de)則使防毒軟體失效。比如，在(zài)病毒剛進入網路的(de)時(shí)候，還沒有一(yī / yì ／yí)個(gè)廠家迅速開發出(chū)相應的(de)辨認和(hé / huò)撲滅程序，于(yú)是(shì)這(zhè)種全新的(de)病毒就(jiù)很快大(dà)肆擴散、肆虐于(yú)網路、危害單機或網路資源，這(zhè)就(jiù)是(shì)所謂Zero Day Attack。

入侵防禦IPS系統也(yě)像入侵偵查系統一(yī / yì ／yí)樣，專門深入網路數據内部，查找它所認識的(de)攻擊代碼特征，過濾有害數據流，丢棄有害數據包，并進行記載，以(yǐ)便事後分析。除此之(zhī)外，更重要(yào / yāo)的(de)是(shì)，大(dà)多數入侵防禦IPS系統同時(shí)結合考慮應用程序或網路傳輸中的(de)異常情況，來(lái)輔助識别入侵和(hé / huò)攻擊。比如，用戶或用戶程序違反安全條例、數據包在(zài)不(bù)應該出(chū)現的(de)時(shí)段出(chū)現、作業系統或應用程序弱點的(de)空子(zǐ)正在(zài)被利用等等現象。入侵防禦IPS系統雖然也(yě)考慮已知病毒特征，但是(shì)它并不(bù)僅僅依賴于(yú)已知病毒特征。

應用入侵防禦IPS系統的(de)目的(de)在(zài)于(yú)及時(shí)識别攻擊程序或有害代碼及其克隆和(hé / huò)變種，采取預防措施，先期阻止入侵，防患于(yú)未然。或者至少使其危害性充分降低。入侵防禦IPS系統一(yī / yì ／yí)般作爲(wéi / wèi)防火牆和(hé / huò)防病毒軟體的(de)補充來(lái)投入使用。在(zài)必要(yào / yāo)時(shí)，它還可以(yǐ)爲(wéi / wèi)追究攻擊者的(de)刑事責任而(ér)提供法律上(shàng)有效的(de)證據。

網路入侵防禦IPS系統作爲(wéi / wèi)網路之(zhī)間或網路組成部分之(zhī)間的(de)獨立的(de)硬體設備，切斷交通，對過往包裹進行深層檢查，然後确定是(shì)否放行。網路入侵防禦IPS系統藉助病毒特征和(hé / huò)協議異常，阻止有害代碼傳播。有一(yī / yì ／yí)些網路入侵防禦IPS系統還能夠跟蹤和(hé / huò)标記對可疑代碼的(de)回答，然後，看誰使用這(zhè)些回答信息而(ér)請求連接，這(zhè)樣就(jiù)能更好地(dì / de)确認發生了(le／liǎo)入侵事件。

根據有害代碼通常潛伏于(yú)正常程序代碼中間、伺機運行的(de)特點，單機入侵防禦IPS系統監視正常程序，比如Internet Explorer，Outlook，等等，在(zài)它們（确切地(dì / de)說(shuō)，其實是(shì)它們所夾帶的(de)有害代碼）向作業系統發出(chū)請求指令，改寫系統文件，建立對外連接時(shí)，進行有效阻止，從而(ér)保護網路中重要(yào / yāo)的(de)單個(gè)機器設備，如伺服器、路由器、防火牆等等。這(zhè)時(shí)，它不(bù)需要(yào / yāo)求助于(yú)已知病毒特征和(hé / huò)事先設定的(de)安全規則。總地(dì / de)來(lái)說(shuō)，單機入侵防禦IPS系統能使大(dà)部分鑽空子(zǐ)行爲(wéi / wèi)無法得逞。我們知道(dào)，入侵是(shì)指有害代碼首先到(dào)達目的(de)地(dì / de)，然後幹壞事。然而(ér)，即使它僥幸突破防火牆等各種防線，得以(yǐ)到(dào)達目的(de)地(dì / de)，但是(shì)由于(yú)有了(le／liǎo)入侵防禦IPS系統，有害代碼最終還是(shì)無法起到(dào)它要(yào / yāo)起的(de)作用，不(bù)能達到(dào)它要(yào / yāo)達到(dào)的(de)目的(de)。