IPS笔记v11.docx

IPS 入侵防御系统（intrusion prevention system）简称IPS，能够实时监控多种网络攻击并根据配置对网络攻击进行阻断。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。??针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。IPS功能对协议的检测流程包括两部分，分别是协议解析和引擎匹配。协议解析对协议进行分析、发现协议异常后，系统会根据配置处理数据包（记录日志、阻断屏蔽），并产生日志报告管理员；分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测，发现与特征库中特征相匹配的数据包后，系统根据配置处理数据包（记录日志、阻断屏蔽），并产生日志报告给管理员。根据报头和流信息，每个数据包都会被分类根据数据包的分类，相关过滤器将被用于检查数据包的流状态信息所有相关过滤器都是并行使用的，如果任何数据包符合匹配要求，则该数据包标为命中。被标为命中的数据包将被丢弃，与之相关的流状态信息也会被更新，指示系统丢弃该流中剩余的所有流量。4321过滤器是由多个特征值组成，过滤器是按照相同协议、或者相同级别等共同的特点把部分特征值从总特征值筛选出来。过滤器是从上往下匹配的，匹配一次后，就不在向下执行。IPS检测方法有如下几种：协议分析是一种较新的入侵检测技术，它充分利用网络协议的高度有序性，并结合高速数据包捕捉和协议分析，来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理，以此分析这些协议的数据包，来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准（如RFC），还基于协议的具体实现，这是因为很多协议的实现偏离了协议标准。通过协议分析，IPS能够针对插入（Insertion）与规避（Evasion）攻击进行检测。异常检测的误报率比较高，异常检测异常检测也是常用的一种入侵检测分析方法。异常检测通常采用定量分析的方法，一般以阀值来标明正常和异常之间的临界点，阀值是指阀所对应的数值。在实现异常检测时，可以为每个测量参数设置一个阀值，也可以对多个测量参数进行计划，为计算结果设置阀值。异常检测无需维护，更新特征库，管理员的管理开销较小，异常检测不依赖于具体、已知的攻击特征检测攻击，可以判别更广泛设置从未出现过的攻击形式。异常检测也存在一些缺点，首先异常检测在发现攻击时不能准确告知攻击类型，其次，异常攻击检测的准确度通常没有特征检测高。IDS逃避技术及解决措施：??什么是IDS逃避技术：??IDS逃避技术是指利用IDS的技术弱点通过使用不同的方法，达到攻击的目的。?1)?flooding：?不停的转发正常流量，偶尔掺杂着不正常的流量，解决措施：应用策略中规定不能广播，只能单播流量。?2)?分片技术：?不停的发送分片数据包，但是这些数据包中的mmf位（有更多分片位）永远置位，这样就不会重组数据包，也就不能检测出该数据包的威胁性。解决措施：分片数据包中置位的不能传输。?3)?加密技术：比如IPsec?VPN隧道，进行传输，因为IDS是不能检测这种隧道技术的，解决措施：规定策略只能用明文传输，不支持隧道。?4)?异型字符：用IDS不支持的字符格式传输来逃避检测，如IDS设备只支持中、英文，但是用的是阿拉伯文传输。解决策略：规定只能用某些字符。IPS的基本处理流程如下：重组应用数据Eudemon支持对IP分片报文重组以及TCP流重组，确保了应用数据的连续性，防止躲避IPS检测的攻击行为。协议识别与传统的根据端口识别协议不同，Eudemon能根据报文内容识别多种常见应用层协议，并对这些数据进行检测，提高了攻击行为的检测率。匹配签名Eudemon采用基于状态的匹配引擎。Eudemon将报文内容与签名进行比较，只有匹配签名的报文才会进行下一步IPS处理。完成检测后，Eudemon根据用户配置的策略和响应方式对匹配到IPS签名的报文进行处理。IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏