IPS的基本原理就是通过对数据流进行重组后进行协议识别分析和特征模式匹配,将符合特定条件的数据进行限流、整形,或进行阻断、重定向、隔离,而对正常流进行转发,如图3.18所示。
图3.18 IPS基本原理
1.数据流重组
IPS具有把数据流重组到连接会话中的能力,这个过程至关重要,因为这样IPS就可以把分散在不同报文中的表达这个会话的目的或行为的片段连接起来,在这个基础上,才能更有效的进行协议分析和特征/模式匹配。
2.协议分析
相当数量的协议在个别字段输入错误时,会造成处理错误,形成入侵攻击条件。协议分析最初的目的是对应用程序的正确性进行验证,以防止通过修改协议的字段对网络构成威胁。
现在的协议分析,已不仅仅是检查协议正确性。它一方面可以作为应用控制,如限速、阻断等行为的依据,另一方面也可以通过解码对部分协议承载的内容进行分析,进而进行特征匹配。
3.特征/模式匹配(www.xing528.com)
特征/模式匹配是检测攻击最常用的方法之一。IPS通常会配有数据库来存储数以千计的攻击特征,并依靠该数据库来进行攻击特征或模式的匹配。
基于特征匹配的攻击检测建立在比协议分析更细粒度的层次,需要识别特定的事件来证实已发生的攻击。一个最常见的匹配模式是当攻击者确定他已经获得了某个主机的root权限时,主机将发送给他一个包含“获得root权限”的数据包,而此时IPS可以通过root这个关键词分析获知有人获得了root权限。虽然这个例子非常简单,但是它可以说明IPS如何匹配上信息。
用来匹配的特征通常包括如下几大类:漏洞攻击、蠕虫/病毒、后门、木马、探测/扫描、恶意代码、间谍软件等。前面所描述的缓冲区溢出、SQL注入、跨站脚本等漏洞均包含在漏洞攻击中,在该环节匹配相应特征进行识别,再送主动处理环节做相应处理。
4.特征/模式的更新
由于新的漏洞、新的攻击工具、攻击方式的不断出现,作为主动入侵防御的系统还具备特征/模式的更新的机制,以保证对新出现的入侵做出匹配和响应。
5.主动处理
主动处理是IPS与IDS的最大区别之一,IPS根据协议分析和特征匹配的结果进行处理,通常IPS设备均提供推荐处理方式,同时也支持用户针对不同特征指定处理方式。处理方式通常包括允许、阻断、限速、报文跟踪、通知等。其中阻断包括将源IP加入隔离区,发送TCP rest对可疑TCP连接进行复位,对HTTP连接通常还有重定向页面,或返回错误消息的方式。限速通常可以做到基于每应用、基于每IP。报文跟踪可以将抓获的报文上送到指定服务器供事后追溯。通知可以及时知会管理员。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
