什么是入侵防御系统 (IPS)？| IBM

什么是 IPS？

入侵防御系统 (IPS) 监控网络流量是否存在潜在威胁，并通过向安全团队发出警报、终止危险连接、删除恶意内容或触发其他安全设备来自动阻止威胁。

IPS 解决方案从入侵检测系统 (IDS) 发展而来，用于检测并向安全团队报告威胁。IPS 具有与 IDS 相同的威胁检测和报告功能，以及自动威胁防御能力，因此有时被称为“入侵检测和防御系统” (IDPS)。

由于 IPS 可以直接阻止恶意流量，因此可以减轻安全团队和安全运营中心 (SOC) 的工作量，让他们能够专注于更复杂的威胁。IPS 可以阻止合法用户的未经授权操作，从而帮助执行网络安全策略，并且支持合规工作。例如，IPS 可满足支付卡行业数据安全标准 (PCI-DSS) 对入侵检测措施的要求。

数据泄露成本

了解最新的《数据泄露成本报告》，获取洞察分析，以便更好地管理数据泄露风险。

IPS 威胁检测方法

IPS 使用三种主要威胁检测方法（单独或组合）来分析流量。

基于特征符的检测

基于特征符的检测方法分析网络数据包中的攻击特征符，即与特定威胁相关的独特特征或行为。特定恶意软件变体中出现的代码序列就是攻击特征符的一个例子。

基于特征符的 IPS 维护一个攻击特征符数据库，并将网络数据包与之进行比对。如果数据包触发了与其中一个特征符的匹配，IPS 就会采取行动。必须定期使用新的威胁情报更新特征符数据库，以便应对新网络攻击的出现和现有攻击的演变。然而，尚未进行特征符分析的全新攻击可以躲过基于特征符的 IPS。

基于异常的检测

基于异常的检测方法使用人工智能和机器学习，来创建并不断完善正常网络活动的基准模型。IPS 将正在进行的网络活动与模型进行比较并在发现偏差时做出响应，例如某个进程使用了比典型情况更多的带宽，或者某个设备打开了通常关闭的端口。

由于基于异常的 IPS 会对任何异常行为做出反应，因此它们通常可以阻止全新网络攻击，尽管这些攻击可能躲过了基于特征符的检测。它们甚至可能捕捉到零日漏洞，零日漏洞是指在软件开发人员知道存在软件漏洞或有时间修补漏洞之前，攻击者就已经利用软件漏洞进行攻击。

然而，基于异常的 IPS 可能更容易出现误判。即使是正常的良性活动，例如授权用户首次访问敏感网络资源，也可能触发基于异常的 IPS。因此，授权用户可能会被从网络中删除，或其 IP 地址被屏蔽。

基于策略的检测

基于策略的检测方法基于安全团队设置的安全策略。每当基于策略的 IPS 检测到违反安全策略的操作时，它就会阻止该尝试。

例如，SOC 可能会设置访问控制策略来规定哪些用户和设备可以访问主机。如果未经授权的用户尝试连接到主机，基于策略的 IPS 将阻止他们。

虽然基于策略的 IPS 提供定制服务，但它们可能需要大量的前期投资。安全团队必须创建一套全面的策略，概述整个网络允许和不允许的行为。

不太常见的威胁检测方法

虽然大多数 IPS 使用上述威胁检测方法，但还有一些使用不太常见的技术。

对于那些与恶意活动或可疑活动相关的 IP 地址和域发出来的流量，基于信誉的检测可以进行标记并阻止。状态协议分析侧重于协议行为，例如，它可以通过检测短时间内发出许多并发 TCP 连接请求的单个 IP 地址，来识别分布式拒绝服务 (DDoS) 攻击。

IPS 威胁防范方法

当 IPS 检测到威胁时，通常会通过安全信息和事件管理 (SIEM) 工具记录事件，并将其报告给 SOC（请参阅下方“IPS 和其他安全解决方案”）。

但是 IPS 的功能不止于此。它会使用以下技术自动针对威胁采取行动：

阻止恶意流量

IPS 可能会终止用户的会话、阻止特定的 IP 地址，甚至阻止发往目标的所有流量。一些 IPS 可以将流量重定向到蜜罐 (honeypot)，这是一种诱饵式资产，使黑客认为他们已经成功，而实际上 SOC 正在监视他们。

删除恶意内容

IPS 可以允许流量继续，但清除危险部分，例如从流中丢弃恶意数据包或从电子邮件中删除恶意附件。

触发其他安全设备

IPS 可能会促使其他安全设备采取行动，例如更新防火墙规则以阻止威胁，或更改路由器设置以阻止黑客到达目标。

执行安全政策

某些 IPS 可以防止攻击者和未经授权的用户执行任何违反公司安全策略的行为。例如，如果用户尝试将不应离开的数据库中的敏感信息传输出去，IPS 就会阻止它们。

入侵防御系统的类型

IPS 解决方案可以是安装在端点上的软件应用程序、连接到网络的专用硬件设备或作为云服务交付。由于 IPS 必须能够实时拦截恶意活动，因此它们总是“内联”部署在网络上，这意味着流量在到达目的地之前会直接通过 IPS。

IPS 根据它们在网络中的位置以及它们监控的活动类型进行分类。许多组织在其网络中使用多种类型的 IPS。

基于网络的入侵防御系统 (NIPS)

基于网络的入侵防御系统 (NIPS) 监控网络上设备的入站和出站流量，检查各个数据包是否存在可疑活动。NIPS 监控器部署在网络的战略要地。它们通常紧靠网络外围的防火墙，以阻止恶意流量突破。NIPS 还可以放置在网络内部，以监控进出关键资产（例如关键数据中心或设备）的流量。

基于主机的入侵防御系统（HIPS）

基于主机的入侵防御系统 (HIPS) 安装在特定端点（例如笔记本电脑或服务器）上，并且仅监视进出该设备的流量。HIPS 通常与 NIPS 结合使用，为重要资产增加额外的安全性。HIPS 还可以阻止来自被感染网络节点的恶意活动，例如从被感染设备传播的勒索软件。

网络行为分析 (NBA)

网络行为分析 (NBA) 解决方案可监控网络流量。NBA 可能像其他 IPS 一样检查数据包，但许多 NBA 专注于通信会话的更高级别详细信息，例如源和目标 IP 地址、使用的端口以及传输的数据包数量。

NBA 使用基于异常的检测方法，标记并阻止任何偏离正常的流量，例如 DDoS 攻击流量，或者与未知命令和控制服务器通信的被恶意软件感染的设备。

无线入侵防御系统 (WIPS)

无线入侵防御系统 (WIPS) 监视无线网络协议，查看是否存在可疑活动，例如未经授权的用户和设备访问公司的 Wi-Fi。如果 WIPS 在无线网络上检测到未知实体，它可以终止连接。WIPS 还可以帮助检测 Wi-Fi 网络上的配置错误或不安全的设备，并拦截中间人攻击，即黑客秘密监视用户的通信。

IPS 和其他安全解决方案

虽然 IPS 可作为独立工具使用，但它们旨在与其他安全解决方案紧密集成，作为整体网络安全系统的一部分。

IPS 和 SIEM（安全信息和事件管理）

IPS 警报通常会传输到组织的 SIEM，在那里它们可以与来自其他安全工具的警报和信息合并到单个集中式仪表板中。将 IPS 与 SIEM 集成，使安全团队能够通过额外的威胁情报来丰富 IPS 警报、过滤掉错误警报并跟踪 IPS 活动，以确保成功阻止威胁。SIEMS 还可以帮助 SOC 协调来自不同类型 IPS 的数据，因为许多组织使用不止一种类型的 IPS。

IPS 和 IDS（入侵检测系统）

如前所述，IPS 是从 IDS 发展而来的，并且具有许多相同的功能。虽然一些组织可能使用单独的 IPS 和 IDS 解决方案，但大多数安全团队可部署单一集成解决方案，提供强大的检测、日志、报告和自动威胁防护。许多 IPS 可支持安全团队关闭预防功能，从而让它们在组织需要时充当纯粹的 IDS。

IPS 和防火墙

IPS 充当防火墙后面的第二道防线。防火墙会阻止外围的恶意流量，而 IPS 会拦截任何设法突破防火墙并进入网络的流量。有些防火墙，特别是下一代防火墙，内置了 IPS 功能。