|
主机IPS(HIPS)
和主机检测系统类似,主机IPS依赖主机上安装有关软件来起到防范作用。该软件和系统软件(Kernel)以及服务软件有紧密关联,并依靠对系统回叫的监视和截取来达到防止攻击和记录攻击的目的。这种方法还能用来监视数据流或系统环境的某些特别用途(如,Web服务器的文档地址和记录的设置等),以此来保护系统免遭未曾记录在案的某些“签名”的攻击。
这种方法(HIPS)的潜在问题是,由于它和主机的操作系统是紧密关联的,一旦主机操作系统升级就可能产生(兼容)问题。
由于主机IPS软件截收一切向主机系统发出的申请,因而它的前提是,该软件必须非常可靠,必须不能对系统性能产生负面作用,同时它不能阻击一切正常数据流。无法满足这些最低要求的HIPS,不管它是如何有效也不应该装入系统。
网络IPS(NIPS)
网络IPS结合了标准的IDS,IPS和防火墙的功能于一体,有时甚至加入了所谓的在线IDS或Gateway
IDS(GIDS)。和任何一个典型防火墙一样,NIPS至少有两个网络端口,其中一个端口是面向内部网的,而另一个是面向外部网的,不管在哪个端口通过的数据包都会送到检测功能部(detecting
engine)。在这一点上,NIPS和IPS没有什么区别。所不同的是,一旦NIPS检测到不良企图的数据包,它就不仅仅发出警报,它还能丢弃该数据包并把载送该数据包的数据流标示为“坏”数据流,后续的通过该TCP通道时也会立即遭到丢弃。当不良特征的数据包能通过NIPS的第二个端口并把它送向目的地时,一项好的负作用是,某些IPS产品能做“数据包”细检查,也就是通过对网络协议不一致性的检查来清除某些(可能是恶意的)TCP/IP数据包或数据流,这样对任何分段数据包,失序数据包,或具重复分段的数据包将进行重新排序或“打扫”干净然后再送向目的地主机,任何不良数据包则会被丢弃。
有时IDS生产商会使你认为他的产品也能做到入侵防范,因为他的产品能送TCP
reset命令或他可以重新配置防火墙来达到防范目的。问题是除非黑客攻击速率是用2400波特的调制解调器,否则一个可能的结果是:在IDS检测到违规数据包,开始发出警告及TCP
reset时,通过该违规数据包的载体(payload)早已被送出,也就是说游戏已经结束了。我们的猜测是,今天应该没有太多黑客使用联网速率2400波特了。真正的IPS装置应当是在线的,所有的数据包都必须通过它。一旦被怀疑为不良目的数据包被检测到时,在它被发送到内部网端口之前就会被丢弃。不仅如此,由于传送该数据包的数据流被标示为怀疑对象,所有由该数据流传送的后续数据包也将被丢弃,在这种情形下,某些IPS甚至可以向黑客(攻击机器)发出TCP
reset or ICMP unreachable messages。
1 2 3
Copyright ©2005 安捷通网络技术有限公司 |
