IPS入侵防御系统简介，IPS和IDS的区别

入侵预防系统是什么？

入侵预防系统(英语:IntrusionPreventionSystem，缩写为IPS），又称入侵检测与预防系统（intrusiondetectionandpreventionsystems，缩写为IDPS），是计算机网络安全设施，是防病毒软件（AntivirusSoftwares）补充防火墙。入侵预防系统是一种计算机网络安全设备，可以监控网络或网络设备的网络数据传输行为，可以立即中断、调整或隔离一些异常或有害的网络数据传输行为。

传统防火墙为何存在？IDS还会出现IPS？

虽然防火墙可以根据英特网的地址（IP-Addresses）或服务端口（Ports）过滤数据包。然而，它无力使用合法的网站和端口。因为防火墙很少深入数据包检查内容。

在ISO/OSI网络层次模型(见OSI在模型中，防火墙主要作用于第二至第四层，其作用在第四至第七层通常非常弱。病毒去除软件主要在第五至第七层工作。为了弥补防火墙与病毒去除软件在第四至第五层之间的差距，几年前，工业界已经投入使用了入侵检测系统。入侵调查系统在发现异常情况后，应及时向网络安全管理人员或防火墙系统发出报警。不幸的是，灾难经常发生。虽然要弥补还不算太晚，但防御机制最好在危害形成前发挥作用。随后出现的入侵反应系统（IRS:IntrusionResponseSystems）作为入侵调查系统的补充，可以在发现入侵时迅速反应，并自动采取预防措施。入侵预防系统作为两者的进一步发展，吸收了两者的优势。

IPS如何工作

入侵预防系统专门深入网络数据内部，找到其知道的攻击代码特征，过滤有害数据流，丢弃有害数据包，以便事后分析。此外，更重要的是，大多数入侵预防系统还结合应用程序或网络传输层的异常情况来帮助识别入侵和攻击。例如，用户或用户程序违反了安全规定，数据包出现在不应该出现的时间，操作系统或应用程序弱点的空子正在使用。虽然入侵预防系统也考虑了已知病毒的特征，但它不仅取决于已知病毒的特征。

应用入侵预防系统的目的是及时识别攻击程序或有害代码及其克隆和变体，采取预防措施，提前防止入侵，处于萌芽状态。或者至少要完全减少它的危害。入侵预防系统通常被用作防火墙和病毒软件的补充。必要时，它还可以提供有效的法律证据追究攻击者的刑事责任（forensic）。

入侵预防技术

异常调查。就像入侵调查系统一样，入侵预防系统通常知道正常数据和数据之间的关系，可以通过比较来识别异常。

遇到动态代码（ActiveX，JavaApplet，各种指令语言scriptlanguages等等)，先把它们放在沙盘里，观察它们的行为趋势，如果发现可疑情况，就停止传输，禁止执行。

一些入侵预防系统结合协议异常、传输异常和特征调查，有效防止通过网关或防火墙进入网络的有害代码。

内核基础上的防护机制。用户程序通过系统指令享用资源（如存储区、输入输出设备、中央处理器等）。入侵预防系统可以截获有害的系统请求。

对Library、Registry、防御和保护重要文件和重要文件夹。

与IDS相比，IPS的优势

IDS：入侵检测系统

做一个形象比喻:如果防火墙是建筑的门锁，那么IDS这是大楼里的监控系统。小偷一旦爬上窗户进入大楼，或者内部人员越界，实时监控系统就会发现情况并发出警告。

IDS专业上，根据一定的安全策略，监控网络和系统的运行状态，尽可能找到各种攻击尝试、攻击行为或攻击结果，以确保网络系统资源的机密性、完整性和可用性。

IDS入侵检测系统是一种监控设备，可以在没有任何链接的情况下工作，没有网络流量流通。所以，是的IDS部署的唯一要求是：IDS所有关注流量必须流经的链路都要挂接。

与IDS相比，IPS同时具有检测和防御功能；IPS它不仅可以检测攻击，还可以防止攻击，兼顾检测和防御，而且可以在入口处开始检测，而不是等到进入内部网络。这样，检测效率和内部网络安全性大大提高。

可检测到IDS无法检测到的攻击行为IPS在应用层内容检测的基础上，补充了传统的防火墙 IDS方案无法完成更多内容检查的不足，填补了基于内容的网络安全产品安全检查的空白。

IPS是一种失效既阻断机制IPS攻击失败后，它会像防火墙一样阻断网络连接，将受保护的资源与外界隔开。