独家：HIPS和NIPS两种类型入侵防护系统对比

申请免费试用、咨询电话：400-8352-114

摘要：在当今复杂的网络环境中，面对种种安全威胁，入侵防护技术IPS是一种比较好的防护措施。按照实现方式，IPS可以分为基于主机的入侵防护系统HIPS和基于网络的入侵防护系统NIPS。两种IPS系统各自具有自己的特点，本文对其进行了对比分析。安全管理员在选择防护系统时，可以根据自己的需要，选择最适合自己的产品。

前言

网络安全方面的威胁的数量和频率的日益增长，而且随着网络环境日益复杂，消除这些网络安全威胁也越来越困难。现代网络发展至今，需要发布重要信息，并且需要为大量的用户服务。这些重要服务，需要通过冗余的通讯线路、无线网络、便携式计算机、手持设备，甚至是可以连接互联网的手机，这些新的访问技术和连接方式，大大提升了信息系统的价值，但同时也使系统遭受攻击的概率和方式大大增加了。

IPS（Intrusion Prevention System，入侵防护系统）被设计用于防范信息系统避免遭受非法访问、攻击或者崩溃。随着新一代蠕虫的出现，软件和网络受到的攻击现象日益增多，为了应对日益增长的威胁，安全厂商们推出了IPS产品。

本文首先介绍了入侵防护系统的大体情况，接着对两种最常见的IPS体系结构进行了分析。

1 IPS(入侵防护系统)概述

1.1 什么是入侵防护系统

在本文中，我们认为入侵防护系统应至少保护以下几个方面的内容：

1、机密性—— 防止保存在计算机系统中的信息，遭受非法的浏览或复制。这方面的威胁，主要存在于后门程序、键盘监控程序等。这些程序可以使未授权的用户访问到机密的信息。

2、完整性—— 防止保存在计算机系统中的信息遭受到非法的修改。这方面的威胁，主要存在于后门程序，网络蠕虫病毒等。这些程序可能会修改或删除数据。

3、可用性—— 防止计算机资源，如计算机，网络或者是保存在系统或网络中的信息，被非法使用。

1.2IPS入侵防护系统两种主要实现方式：

对于上述列出的主要功能，目前主要有两种实现方式：

1、HIP（基于主机的入侵防护）—— 软件系统直接部署在需要防范的目前系统上；

2、NIP（基于网络的入侵防护）—— 软件或专门的硬件系统，直接接入网段中，保护同一网段，或下一级网段的所有系统。

这两种方式，都不同程度上提供了上述三种功能，各有其优点和缺点，在防范特定类型的威胁时，各有其特点。

根据两种不同的实现方式，IPS也主要分为了两种：HIPS（基于主机的入侵防护系统）和NIPS（基于网络的入侵防护系统）。由于网络入侵威胁的动态特性，在进行网络部署时，综合考虑两种类型的IPS，将会提供更好的防护。

2 HIPS基于主机的入侵防护系统

2.1 HIPS介绍

HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。

HIPS软件驻留在特定的系统上（如服务器、工作站或笔记本），对所有流入或流出的通讯流进行检测，应用程序和操作系统的操作也均会被检查，以确定是否输入攻击行为。这些针对主机系统的程序或代理，只能保护主机的操作系统或者试运行在主机上的应用程序（如Web服务器）。当检测到攻击行为时，HIPS要么在网络层直接阻止攻击数据包，要么通知操作系统或应用程序来阻止这些攻击行为。比如，缓存溢出攻击，可以通过禁止恶意程序插入地址空间的方式被检测到。试图利用应用程序（如IE）安装后门程序的攻击行为，可以通过中途阻止和拒绝IE进行“写文件”操作的方式被阻止。

HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。

Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品。

2.2 HIPS的优点

1、软件直接安装在目标系统上，不但防护攻击行为，而且还能够防护攻击结果引起的攻击行为，比如阻止程序写文件，阻止用户权限提升等；

2、防止移动系统在离开带防护功能的网络时，受到攻击。病毒侵入带防护功能的一个主要原因，就是利用移动系统作为跳板。而在移动的设备中安装一个NIPS，显然不太合适。

3、防范本地攻击。本地攻击，通常通过物理访问某个系统，通过CD、FD执行恶意程序，以发起本地攻击。这些攻击通常都集中在提升用户权限，进而危害网络上的其它系统。

4、提供最后基本的防护。

5、防范同网段的局域网攻击或者误操作造成的损害。NIPS只防范跨网段之间的数据移动，同网段内部的攻击，只能由HIPS来处理。

6、防范加密攻击。加密数据在主机系统解密后，HIPS会进行数据和操作行为的检查。

7、独立的网络结构。可以对特定的网络结构进行防范，如Token Ring，FDDI等。