网络安全面试：什么是IPS？

网络安全面试：揭秘IPS技术

最新推荐文章于 2025-07-28 11:37:54 发布

程序员小雨Y

最新推荐文章于 2025-07-28 11:37:54 发布

阅读量1.2k

点赞数 21

CC 4.0 BY-SA版权

文章标签： web安全面试安全 wireshark 网络协议网络 php

本文链接：https://blog.csdn.net/2401_84215240/article/details/149444229

网络安全面试：什么是IPS？

IPS（Intrusion Prevention System，入侵防御系统）是一种安全防御技术，可以对应用层攻击进行检测并防御。它通过分析网络流量来实时检测入侵行为，并执行相应的动作来阻断入侵行为，保护企业信息系统和网络免遭攻击。

IPS技术的产生背景

在早期的网络安全防御体系中，防火墙作为第一道防线，主要负责监控和控制进出网络的数据流，阻止未授权的访问。然而随着网络攻击手法的不断进化，单纯的防火墙已无法有效识别和阻挡复杂的入侵手段，如蠕虫、病毒以及更为隐蔽的网络攻击。这些攻击往往能够绕过传统防火墙的监控，对网络系统造成严重威胁。

为了应对这些挑战，IDS（Intrusion Detection System，入侵检测系统）应运而生，它能够监测网络流量中的异常行为，提供攻击检测的功能。然而，IDS仅能进行检测和告警，无法实施实时干预，需要人工介入进行响应，这在动态和高速发展的网络环境中显得反应迟缓。

IPS技术正是在这样的背景下产生的，它不仅能够检测到入侵行为，还能够自动采取措施进行阻断。IPS的出现极大提高了网络安全防护的主动性和时效性，使得网络在面临攻击时能够即时做出反应，有效减少了潜在的损失和影响。

IPS技术的优势

IPS技术具有以下优势：

•深度防护：IPS可以对网络数据流进行协议分析和重组，并针对报文的应用层内容进行详细分析，识别出更多的攻击特征，提高攻击检测的准确性。

•实时防护：IPS能够实时检测流经设备的网络流量，并对入侵活动和攻击性网络流量进行实时拦截。

•全方位防护：IPS可以对多种类型的攻击提供防护措施，包括蠕虫、木马、僵尸网络、间谍软件、广告软件、CGI攻击、跨站脚本攻击、注入攻击等。

•内外兼防：IPS可以对经过设备的流量进行检测，不仅可以防止来自企业外部的攻击，还可以防止发自企业内部的攻击。

•庞大且不断更新的特征库：IPS支持定期自动更新特征库，以应对新的攻击威胁，提供持续的防护。

•灵活的自定义IPS特征：IPS支持创建自定义特征，满足用户特定组网环境下的定制化防护需求。

IPS和IDS有什么区别？

IPS和IDS是两种旨在提高网络安全的技术，但它们在功能和使用场景等方面有所不同。IDS是一种监测工具，能够检测网络中的可疑活动和安全威胁，并向管理员发出警告。它像是一个警报系统，告知可能存在的问题，但不会进行干预。而IPS则更为积极，不仅能检测威胁，还会自动采取措施来阻止或减轻攻击的影响，类似于一个拥有自动反应能力的警卫。

IPS技术如何运作？

IPS通过以下两大功能协同检测，实现对入侵行为的精确识别和阻断，保护企业信息系统和网络免遭攻击。

•IPS特征匹配：通过对报文进行特征匹配来实时检测入侵行为，能够有效地识别跨站脚本、爬虫等攻击。

•SQL语义分析：通过对报文中的SQL语句进行语义分析，精确识别SQL注入类攻击。

IPS特征匹配

IPS功能通过应用层检测引擎对报文进行特征匹配来实时检测入侵行为，并基于IPS策略对报文进行处理。IPS策略中定义了对哪些IPS特征进行匹配，以及对匹配成功的报文执行的动作。

图1 IPS特征匹配处理流程

识别特征并下发识别结果

管理员需要先将特征加载到设备，为应用层检测引擎的特征匹配提供丰富的特征资源。应用层检测引擎对报文进行重组、解码、切分和协议解析等处理后，将报文与IPS特征进行匹配。当特征匹配成功时，会下发匹配结果到IPS业务模块。

图2 识别特征并下发识别结果

推导动作

IPS业务模块根据特征匹配结果，判断出特征在IPS策略中需要执行的动作。在IPS策略中，特征可能执行如下几类动作：

•IPS策略中指定特征的特例动作。

•IPS策略中所有特征统一执行的动作。

•IPS策略中指定特征的预定义动作。

动作优先级由高到低依次为：特例动作 > 统一动作 > 预定义动作。

图3 推导动作

执行动作

IPS业务模块根据动作推导结果，执行相应的动作：

•如果报文只与一个IPS特征匹配成功，则执行推导出的动作。

•如果报文与多个IPS特征匹配成功，则执行推导出的多个动作中优先级最高的动作。

IPS业务支持执行的动作包括重置、重定向、丢弃、允许、源阻断、报文捕获和记录日志。其中，动作优先级由高到低依次为：重置 > 重定向 > 丢弃 > 允许。对于源阻断、报文捕获、记录日志，只要匹配成功的特征中存在这些动作就会执行。

图4 执行动作

SQL语义分析

SQL语义分析功能通过对请求报文中的SQL语句进行词法、语法和语义分析来检测是否存在SQL注入攻击，并根据检测结果对报文进行相应的处理。相对于特征匹配功能仅匹配字符串而不懂程序本身，SQL语义分析功能可以理解程序语言，并在此基础之上检测出可疑流量。

图5 SQL语义分析检测

IPS技术如何与其他网络安全技术结合使用？

IPS技术与安全策略技术结合使用

IPS主要通过分析网络流量来检测入侵行为，并执行相应的动作来阻断入侵行为，但它无法阻止未经授权的网络访问。而安全策略技术则主要通过控制网络流量，阻止未经授权的访问，以保护网络的安全，但它无法阻止通过合法访问的入侵行为。因此，这两种技术可以相互补充，安全策略可以基于源地址、目的地址、端口等信息过滤掉一些已知的恶意流量，而IPS技术可以进一步检测和处理潜在的入侵和攻击，共同提高网络安全。

图6 IPS技术与安全策略技术的结合使用

IPS技术与防病毒技术结合使用

IPS和防病毒技术都是网络安全的重要组成部分，但它们的侧重点有所不同。防病毒技术主要专注于检测和清除病毒文件。IPS技术则可以识别并处理更广泛的威胁，例如木马、僵尸网络、跨站脚本攻击、注入攻击等。这两种技术通常可以结合使用，防病毒技术保护企业内部数据免遭病毒的破坏、泄露和篡改，为企业内网的数据安全提供坚固的防御；IPS技术则保护网络环境免遭各类入侵和攻击。二者结合使用，可以更全面地防御来自不同渠道和层面的安全威胁，共同提升网络和系统的安全级别。

图7 IPS技术与防病毒技术结合使用