IPS 有哪些分類

根據IPS工作模式的不同，可以將其分為3類：基于主機的入侵防御（HIPS）、基于網絡的入侵防御（NIPS）和基于應用的入侵防御（AIP）。

1. 基于主機的入侵防御（HIPS）

   HIPS通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統以及應用程序。基于主機的入侵防御能夠保護服務器的安全弱點不被不法分子所利用，因此它們在防范蠕蟲病毒的攻擊中起到了很好的防御作用。基于主機的入侵防御技術，可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

   在技術上，HIPS采用獨特的服務器保護途徑，利用由包過濾、狀態包檢測和實時入侵檢測組成分層防御體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護服務器的敏感內容，既可以以軟件形式嵌入到應用程序對操作系統的調用當中。通過攔截針對操作系統的可疑調用，提供對主機的安全防御。也可以以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。

   由于HIPS工作在受保護的主機/服務器上，它不但能夠利用特征和行為規則檢測，阻止諸如緩沖區溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/服務器操作系統平臺緊密相關，不同的平臺需要不同的軟件代理程序。

2. 基于網絡的入侵防御（NIPS）

   NIPS通過檢測流經的網絡流量，提供對網絡系統的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。

   NIPS必須基于特定的硬件平臺，才能實現千兆級網絡流量的深度數據包檢測和阻斷功能。這種特定的硬件平臺通常可以分為三類：一類是網絡處理器（網絡芯片），一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。

   在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特征匹配、協議分析和異常檢測。特征匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基于狀態的特征匹配不但檢測攻擊行為的特征，還要檢查當前網絡的會話狀態，避免受到欺騙攻擊。

   協議分析是一種較新的入侵檢測技術，它充分利用網絡協議的高度有序性，并結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特征。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基于協議標準（如RFC），還基于協議的具體實現，這是因為很多協議的實現偏離了協議標準。通過協議分析，IPS能夠針對插入與規避攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

3. 基于應用的入侵防御（AIP）

   NIPS產品有一個特例，即應用入侵防御（AIP），它把基于主機的入侵防御擴展成為位于應用服務器之前的網絡設備。AIP被設計成一種高性能的設備，配置在應用數據的網絡鏈路上，以確保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網絡上，直接對數據包進行檢測和阻斷，與具體的主機/服務器操作系統平臺無關。NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防御功能。

回答所涉及的環境：聯想天逸510S、Windows 10。