王丽

【摘要】本文简述了入侵保护/防御系统（IPS）的概念，入侵保护系统的工作原理、分类，同时与传统的IDS（入侵检测系统）进行了对比。并且对比了防火墙、IDS相对于IPS的局限，提出通过部署入侵保护系统来提升网络安全。在讨论网络安全漏洞的基础上，对入侵保护系统检测技术进行了研究。

【关键词】IPS;入侵防御系统：IDS：网络安全构建

一、入侵防御系统

入侵防御技术能够对网络进行主动的防护，保障网络安全。IPS是一种主动的、智能的入侵检测和防御系统，可预先对入侵活动和攻击行为的网络流量进行拦截，保障网络安全。IDS是以并联的方式部署在不同的服务器和网段上，通过网络传感器获取服务器或网段上的流量，再通过IDS管理控制台进行分析，当检查到入侵或攻击行为，管理器会向管理员发出警报。而IPS以串联的方式部署在网络的进出口处（核心三层交换机或核心路由器），它可以分析所有流量，检测到有入侵或攻击企图后，IPS会采取相应的措施对攻击行为（比如自动数据丢弃包）阻断。而IDS是之前一些单位采用的网络保护方式，但其存在以下几个显著缺陷：一是部署过程复杂，费用高;二是误报、错报率高;三是防攻击能力较差;四是被动防攻击等。而IPS能主动对入侵行为和攻击数据包实行拦截丢弃，再向管理员发出报警。

二、IPS的分类

（一）基于主机的入侵防御系统（HIPS）

HIPS是为了保护服务器免受外部入侵或攻击，主要是将代理程序安装在服务器等主机上以此防止入侵或攻击。对于缓冲区溢出、登录口令、试图获得操作系统入侵权等行为，HIPS可以根据系统内置的安全策略和分析学习机制阻断对主机的入侵，从而保障主机系统的安全。

（二）基于网络的入侵防护系统（NIPS）

由于NIPS串联在网络主干上，对整个网络流量起到过滤的作用，即检测出流量具有危害性，NIPS会直接去除整个网络会话。但是任何事情都有两面性，由于IPS是以串联的方式接人整个网络的进出口，那么NIPS性能的好坏，直接影响着整体网络的性能，这种方式的防护系统有可能成为整个网络的瓶颈。

（三）应用入侵防护系统（AIPS）

AIPS是应用服务器之前的网络设备，保护应用服务器安全。AIPS是高性能的设备，部署在特定的网络链路上，并设置好安全策略，用户遵守这些安全策略，从而保护服务器的安全。

三、基于认知网络的入侵防御系统构建

（一）入侵防御系统优缺点

第一，进行更深层次的检测。OSI模型的（传输、会话、表示、应用层）传统防火墙系统和入侵检测系统都无法进行检测，但是入侵防御系统却能够进行检测。网络协议由TCP/IP封装起来，由于新型攻击程序的代码一般都封装在TCP/IP协议包中，这样很难将其检测出。而入侵防御系统能够深入OSI模型4～7层，可以对网络协议包进行检测，因此对于这类网络的漏检测概率大大降低。第二，在介绍IPS分类时就已经提过这种防护是串联模式，部署在网络主干中，对于网络出现攻击系统可以快速对网络攻击做出反应，制止网络攻击。第三，实时检测网络系统。由于传统入侵检测系统只针对网络封包的历史数据进行检测，当发现一些入侵痕迹时入侵行为已经发生，不能及时处理网络入侵而是报警给管理员，损失可能已经造成，不能及时止损。而IPS系统是实时进行网络监测，实时检测异常，并对出现攻击异常做出反应，保障网络系统的安全性。第四，主动防御能力。IPS系统监测到流经的流量有问题就对此数据进行丢弃，主动防护能力强，是IDS入侵检测系统和传统防火墙系统的综合，而且IPS不需要其他系统配合。IPS具有学习功能，可以把不在系统防御内的入侵行为加入规则比配数据库中。但有些入侵行为防御系统数据库中没有比配数据，就会漏报攻击行为或入侵行为。为了解决IPS漏报或错报的问题，IPS的开发者倾向于采用智能算法自动学习入侵模式，自动动态更新入侵防御系统数据库，使其能够在不断认知学习中进行入侵防御。

（二）基于智能认知的IPS

传统IPS对网络数据与数据库中的数据，按照一定算法进行对比，这种算法的好坏和数据库是否充实都会造成对网络行为的判断失误，漏报、误报的情况增多。可以通过优化算法或及时更新数据库改变这种状况，但通过智能认知的方式更具有优越性。智能认知网络是通过熟悉周围网络环境，对网络环境的变化不断更新，认知理解网络环境，从而动态调整网络各种配置，对网络行为做出相应的决策。在智能认知理论基础上，让IPS有较强的自学习能力，分析网络中的数据，对网络异常数据进行过滤以保护整个网络。智能认知的IPS的自学习能力能主动识别出入侵，不需要安全员参与。这种IPS的数据库不断自动动态更新，随着规则匹配库的不断完善，漏报、误报率就会相应减小。

（三）智能认知防御系统网络安全构建

智能IPS相比传统IPS和IDS都具有很大的优势，构建智能认知IPS主要由以下5个部分组成：

1.嗅探器：扫描流经端口及路由的数据。

2.状态库：存储数据。

3.知识库：这是智能IPS的核心部分，对状态库的信息进行分析以及推理，对现有的知识库进行更新，获得认知新知识的能力。

4.認知推理：对知识库的数据进行知识推理，对未知网络推理分析学习知识。

5.决策执行：这是入侵行为的决策者。该模块通过认知结果进行相应的入侵防御。