什么是入侵防御系统？

IPS 解决方案在很大程度上实现了自动化，有助于在恶意活动到达其他安全设备或控件之前将其过滤掉。这就减少了安全团队的手动工作量，并允许其他安全产品更有效地执行。

IPS 解决方案在检测和防止漏洞利用方面也非常有效。当发现漏洞时，在应用安全补丁之前通常有一个被利用的机会窗口。这里使用入侵防御系统来快速拦截这些类型的攻击。

IPS 设备最初是在 2000 年代中期作为独立设备构建和发布的。这种功能已经集成到统一威胁管理 (UTM) 解决方案以及新一代防火墙中。新一代 IPS 解决方案现已连接到基于云的计算和网络服务。

入侵防御系统如何工作

IPS 直接内联放置在源和目标之间的网络流量中。这就是 IPS 与其前身 - 入侵检测系统 (IDS) 的区别。相反，IDS 是一个被动系统，它扫描流量并报告威胁。

这种解决方案通常位于防火墙后面，分析进入网络的所有流量，并在必要时采取自动操作。 

这些操作可以包括：

• 向管理员发送警报（IDS 中也是一样） 
• 丢弃恶意数据包
• 拦截来自源地址的流量 
• 重置连接
• 配置防火墙，防止未来的攻击 

作为内联安全组件，IPS 必须能够:

• 高效工作，避免网络性能降级 
• 快速工作，因为漏洞利用可以近乎实时地发生 
• 准确检测和响应，消除威胁和误报（即，合法数据包被误读为威胁）。 

为了成功地做到这一点，有多种技术可以用来发现漏洞利用并保护网络免受未经授权的访问。其中包括： 

• 基于特征的检测是一种基于每个漏洞利用代码中唯一可识别模式（或特征）字典的检测方法。当发现漏洞利用时，其特征会被记录下来并存储在不断增长的特征字典中。IPS 的特征检测分为两种类型： 
  • 面向漏洞利用的特征通过触发特定漏洞利用尝试的独特模式来识别各种漏洞利用。IPS 可以通过在流量流中查找与面向漏洞利用的特征的匹配来识别特定的漏洞利用。
  • 面向漏洞的特征是更广泛的特征，针对的是目标系统中的潜在漏洞。这些特征可以保护网络免受不明身份者的攻击。它们还增加了误报的风险。
• 基于异常的检测随机抽取网络流量样本，并将其与预先计算的基线性能水平进行比较。当流量活动超出基准性能参数时，IPS 会采取措施。 
• 基于策略的检测要求系统管理员根据企业的安全策略和网络基础设施配置安全策略。如果发生任何违反定义的安全策略的活动，则会触发警报并发送给管理员。 

入侵防御系统的类型 

IPS 解决方案有多种类型，可针对不同目的进行部署。其中包括： 

• 基于网络的入侵防御系统 (NIPS)，安装在战略点以监控所有网络流量并扫描威胁。
• 主机入侵防御系统 (HIPS)，安装在端点上，仅查看来自该计算机的入站/出站流量。HIPS 通常与 NIPS 结合使用，充当威胁的最后一道防线。
• 网络行为分析 (NBA) 分析网络流量，检测异常流量并发现新的恶意软件或零日漏洞。
• 无线入侵防御系统 (WIPS) 扫描 Wi-Fi 网络是否存在未经授权的访问并删除任何未经授权的设备。

入侵防御系统的优点 

入侵防御系统具有许多安全优势： 

• 降低业务风险并提高安全性 
• 更好地了解攻击，从而提供更好的保护
• 提高效率，可以检查所有流量是否存在威胁 
• 减少管理漏洞和补丁所需的资源

IPS 的关键特性 

IPS 是防止某些最具威胁性的高级攻击的重要工具。在选择的 IPS 中寻找以下功能： 

• IPS 漏洞防护 
  应用程序漏洞是泄露、感染和勒索软件攻击生命周期中常见的初始步骤。虽然报告的漏洞数量逐年上升，但攻击者只需利用一个漏洞即可获得企业的访问权限。 
  
  Apache Struts、Drupal、远程访问、VPN、Microsoft Exchange、Microsoft SMB、操作系统、浏览器和 IoT 系统等应用程序中的关键漏洞，仍然是针对企业的最主要企图利用漏洞。 
  
  漏洞利用和 RDP 入侵是对手进入企业并发起勒索软件攻击的两种主要方式。因此，漏洞保护是安全防护的重要组成部分。 
  
  
• 反恶意软件保护
  基于流的扫描引擎可检测已知的恶意软件及其未知变体，然后高速内联拦截它们。IPS 和反恶意软件保护通过一项服务解决多个威胁载体。这是从传统供应商那里购买和维护单独的 IPS 产品的便捷替代方案。 
  
  
• 全面的命令和控制防护
  初次感染后，攻击者通过隐蔽的 C2 通道与主机进行通信。C2 通道用于拉取其他恶意软件、发出进一步指令并窃取数据。
  
  随着 Cobalt Strike 等工具集以及加密或混淆流量的使用越来越多，攻击者更容易创建完全可定制的命令和控制通道。使用传统基于特征的方法无法阻止这些通道。
  
  因此，IPS 解决方案必须具备内联拦截和防止未知 C2 的功能。IPS 解决方案还应检测并阻止可能受到以下威胁的系统的出站 C2 通信： 
  • 已知的恶意软件系列
  • Web 外壳
  • 远程访问木马
    
    
• 自动安全操作 
  安全运营团队应该能够快速行动、隔离并实施策略来控制潜在的感染。其中包括更强的安全策略和控制，如自动多因素身份验证。
  
  
• 广泛的可视性和精细的控制
  事故响应团队能够立即确定哪些系统受到攻击以及哪些用户可能受到感染，从而受益匪浅。这比根据 IP 地址猜测要有效得多。将应用和用户的策略控制权交给 IT 和安全人员可以大幅简化网络安全策略的创建和管理流程。 
  
  
• 一致、简化的策略管理
  为了实现全面保护，现代分布式网络需要在以下方面保持一致的策略： 
  • 企业周边
  • 数据中心
  • 公有云和私有云
  • SaaS 应用
  • 远程用户。
    
    
• 自动化威胁情报
  生成和使用高质量的威胁情报很重要，但自动将情报转化为保护也是必要的。现代 IPS 必须可以自动利用威胁情报跟上攻击的速度。

用于规避威胁检测的深度学习

为了防止复杂的规避威胁增加，入侵防御系统应部署内联深度学习。内联深度学习显著增强了检测能力，无需依赖特征即可准确识别前所未见的恶意流量。 

深度学习模型会经历多层分析并在几毫秒内处理数百万个数据点。这些复杂的模式识别系统以无与伦比的准确性分析网络流量活动。这样的系统还可以内联识别未知的恶意流量，误报率极低。这一额外的智能保护层可进一步保护敏感信息并防止可能导致企业瘫痪的攻击。 

要了解有关 IPS 解决方案如何在安全基础设施中发挥作用的更多信息，请阅读本文：Palo Alto Networks 防御入侵的方法。r: Palo Alto Networks Approach to Intrusion Prevention.

入侵防御系统常见问题解答 

问：入侵防御系统有哪两种主要类型?

答：入侵防御系统有多种检测恶意活动的方法，但最常用的两种主要方法如下：基于特征的检测和基于统计异常的检测。 

问：使用 IPS 系统有什么优点?

答：借助 IPS，优点是可以识别恶意活动、记录和报告检测到的威胁，并采取预防措施阻止威胁造成严重损害。 

问：我需要带有 IPS 的防火墙吗?

答：是的。IPS 之所以必要，部分原因在于它们可以堵住防火墙未堵住的安全漏洞。入侵防御系统的设计目的是在恶意罪犯对系统造成危害之前，检测并拒绝其访问。IPS 是新一代防火墙不可或缺的一部分，可提供急需的附加安全层。