＜网络安全＞《9 入侵防御系统IPS》

1 概念

IPS（ Intrusion Prevention System）是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙（Packet Filter, Application Gateway）的补充。入侵预防系统（Intrusion-prevention system）是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS是主动防御。

2 目的

防火墙可以根据IP地址（IP-Addresses）或服务端口（Ports）过滤数据包。但是，它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术 [1]（Deep Packet Inspection 深度包检测技术），其本身也面临着许多挑战。

每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别，同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。

在ISO/OSI网络层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。除病毒软件主要在第五到第七层起作用。IPS为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

3 企业级入侵防御系统一般功能

一般能对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计，可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行主动阻断。通过对内外部用户的网络行为进行解析、记录、汇报，实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

用户管理
系统提供丰富的用户认证方式以及用户同步方式，标准的树形结构用户管理方式更好的满足企业对于用户管理要求。
身份认证
具备丰富身份认证方式，可有效的区分用户；是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。
入侵防御
具有网络攻击防护、Web攻击防护、拒绝服务攻击防护、网络病毒防护、恶意URL防护五大攻击防御体系，可构建多维立体防御解决方案，达到全面高效的防御效果。
自定义应用
系统具备自定义应用功能，管理员可根据协议、目标端口、IP.域名等维度创建应用特征，进而针对企业应用进行审计、流量统计和控制。
于协议指令防护
系统对HTTP、FTP、Telnet等协议实现指令级的防护，可以阻断利用FTP、HTTP等常用协议进行网络攻击的行为。
丰富的报表
提供了多视角和丰富易用的报表。便于客户单位不同职责的管理员从不同视角进行管理，对安全事件、网络流量、安全日志等提供全方位的报告。
漏洞防御
入侵防御系统具备3000+漏洞的积累，能够抵御利用漏洞对网络发起的攻击行为。

4 IDS和IPS关系

入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。

入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。

IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。

①IDS产品在网络中是旁路式工作；

②IPS产品在网络中是串接式工作。
在这里插入图片描述

5 IPS分类

单机入侵预防系统（HIPS: Hostbased Intrusion Prevension System）和网络入侵预防系统（NIPS: Network Intrusion Prevension System）两种类型。

6 IPS 技术应用

入侵阻断技术与应用

屏蔽指定IP地址；

屏蔽指定网络端口;

屏蔽指定域名；

封锁指定URL、阻断特定攻击类型；

为零日漏洞提供热补丁。

软件白名单技术与应用
网络流量清洗技术与应用

网络流量清技术原理
网络流量清洗系统的技术原理:通过异常网络流量检测，而将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统。
网络流量清洗系统的主要技术方法如下:
1.流量检测
2.流量牵引与清洗
3.流量回注
网络流量清洗技术应用
1.畸形数据报文过滤
2.抗拒绝服务攻击
3.Web 应用保护
4.DDoS 高防IP 服务

可信计算技术与应用

建立以安全芯片(TPM)为信任根的完整性度量机制，使得计算系统平台运行时可鉴别组件的完整性，防止篡改计算组件运行。
可信计算的技术原理是首先构建一个信任根，再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个计算机系统，从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台、可信操作系统、可信应用系统组成。
可信度量根RTM是一个软件模块;
可信存储根RTS由可信平台模块TPM芯片和存储根密钥SRK组成
可信报告根RTR由可信平台模块TPM芯片和根密钥 EK组成
可信计算是网络信息安全的核心关键技术，中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系。
可信计算密码支撑平台:以密码技术为基础实现平台自身的完整性身份可信性和数据安全性等安全功能。该平台主要由可信密码模块(TCM)和TCM 服务模块(TSM)两大部分组成。

可信计算技术应用

1.计算平台安全保护
利用 TPM/TCM 安全芯片对计算平台的关键组件进行完整性度量和检查，防止恶意代码篡改BIOS、操作系统和应用软件
2.可信网络连接
可信网络连接 (Trusted Network Connect，TNC)利用TPM/TCiM
安全芯片实现平台身份认证和完整性验证，从而解决终端的安全状态认证、接入后控制问题。TNC的组成结构分为完整性度量层、完整性评估层、网络访问层。
3.可信验证
可信验证的技术原理是基于可信根，构建信任链,一级度量一级，一级信任一级，把信任关系扩大到整个计算节点，从而确保计算节点可信。

数字水印技术与应用

数字水印是指通过数字信号处理方法，在数字化的媒体文件中嵌入特定的标记。水印分为:可感知的、不易感知的
数字水印技术组成:水印的嵌入+水印的提取数字水印的嵌入方法分为:空间域方法、变换域方法

原理
1.空间域方法:空间域方法是将水印信息直接叠加到数字载体的空间域上
2.变换域方法:利用扩展频谱通信技术水影变换域方法是利用扩展频谱通信技术，先计算图像的离散余弦变换(DCT)，再将水印叠加到DCT域中值最大的前L个系数上(不包括直流分量)，通常为图像的低频分量。典型的算法为
NEC算法，该算法首先由作者的标识码和图像的 Hash 值等组成密钥以该密钥为种子来产生伪随机序列，再对图像做 DCT 变换
数字水印常见的应用场景主要有:版权保护、信息隐藏、信息溯源、访问控制等。

网络攻击陷阱技术原理

1.蜜罐主机技术
2.陷阱网络技术
主要应用场景为恶意代码监测、增强抗攻击能力、网络态势感知。

入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术主要有:分布式共识、主动恢复、门限密码、多样性设计等。分布式共识:避免单一缺陷

主动恢复:通过自我清除技术，周期性让系统迁移转变到可信的状态，破坏攻击链条;

门限密码: 可以用于保护秘密，门限密码算法通常用(n,k)形式表示，N
表示参与者的个数，K表示门限值(也称为阙值)，表示获取秘密最少需要的参与者个数;

多样性设计: 可以避免通用模式的失效，如操作系统的多样性可增强抗网络蠕虫攻击能力。

1.弹性 CA 系统
CA私钥是 PKI系统的安全基础，一旦CA私钥泄漏，数字证书将无法得到信任。
2.区块链
区块链由众多对等的节点组成，利用共识机制、空码算法来保持区块数据和交易的完整性、一致性，形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库，数据安全具有较强的入侵容忍能力。
通过弹性 CA系统、区块链可以看出，入侵容忍的核心就是分布式，一个坏了，还有另外一个可以用。