网神 - IPS

Part 1: Overview

网神SecIPS 入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、DDoS/DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

IPS 使用检测方法包括：

状态模式检测（Stateful Detection）

攻击特征数据库模式检测（Signature-based Detection）

• 缓冲区溢出检测
• 木马/后门检测
• DoS/DDoS
• 访问控制检测
• Web 攻击检测
• 漏洞扫描/探测检测
• 蠕虫检测

异常检测（Anomaly Detection）

• 协议异常检测
• 流量异常检测
• 扫描/探测检测
• Flooding Detection

其他领域的检测

• 实时聊天程序
• 流媒体和在线下载程序（P2P）
• 色情网站
• 垃圾邮件
• VPN Tunneling

部署IPS的两个阶段：

第一阶段：IPS以监测模式工作，只检测攻击并告警，不进行阻断

首先，将IPS的工作模式设置为IPS监视模式，在该模式下，IPS的检测引擎将根据安全策略对网络中通过的数据进行检测，如果用户设置了对攻击数据包的阻断功能，IPS会产生相应的阻断报警，但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段，根据检测到的网络中可能出现的攻击行为，对攻击签名特征库和阈值等参数做出调整，减少IPS产生误报的可能性。

另外在此模式下，用户可以观察IPS设备的加入会不会对原有的网络应用产生影响，以确保IPS的性能能够满足原有网络应用的需求。

第二阶段：IPS以Inline模式工作，全面检测，全面防护

在经过第一阶段的学习、调整和适应后，已经可以确认IPS能够以监视方式正常运行，并且不会阻断正常合法的网络数据包，这时候就可以开启IPS的防御功能，进入阻断攻击、全面防御的阶段。