入侵防御系統 IPS 的工作原理是什么？

入侵防御系統(IPS: Intrusion Prevention System)，簡稱IPS。IPS技術可以檢測并深度感知流經的數據流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網絡帶寬資源。IPS實現實時檢查和阻止入侵的原理在于：

IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之后，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定制的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2（介質訪問控制）至Layer 7（應用）的漏洞發起攻擊，IPS能夠從數據流中檢查除這些攻擊并加以阻止。

入侵防御系統內嵌于源與目標之間網絡流量的流動中，通常緊靠防火墻之后放置。入侵防御系統使用多種技術發現威脅：

• 基于簽名：這種方法將活動與為人熟知的威脅簽名進行匹配。這種方法的一項弱點是它只能阻止之前發現過的攻擊，無法識別新型攻擊。

• 基于異常行為：這種方法將網絡活動的隨機樣本與基礎標準進行比較，從而監控異常行為。它比基于簽名的監控方法更加可靠，但有時也會生成誤報。一些更新、更先進的使用人工智能和機器學習技術的入侵防御系統，支持基于異常行為的監控方法。

• 基于策略：這種方法不如基于簽名或基于異常的監控那樣常用。它采用企業定義的安全策略，并阻止違反這些策略的活動。這就需要管理員設置和配置安全策略。

一旦 IPS 檢測到惡意活動，就可以采取許多自動化行動，包括提醒管理員、丟棄數據包、阻止源地址的流量或重置連接。一些入侵防御系統還會使用“蜜罐”或以高價值數據作為誘餌，吸引攻擊者并阻止他們接近目標。

回答所涉及的環境：聯想天逸510S、Windows 10。