二个防御网络安全攻击的方法分别是基于签名和基于异常网络行为分析（NBA）。本文是由TechTarget特约技术专家David Jacobs撰写，介绍这些入侵防御系统（IPS）技术是如何阻止黑客攻击并保护我们的网络。

　　受到网络攻击的新闻多不胜数。黑客会入侵商业网站盗取信用卡信息，入侵国防领域网站偷取最高机密的军事计划。最近发生的拒绝服务（DoS）攻击能让普通用户无法访问网站。遍布企业网络的防火墙和入侵防御系统每天都记录了大量的黑客攻击活动。

　　为了防止被攻击，有2个重要的防御方法可以使用：基于签名和基于异常网络行为分析（NBA）。

　　基于签名的入侵防御和侦查

　　基于签名的系统是对抗曾经被发现过的攻击的一个极为有效的的方法。它们能够快速安装和马上使用。这些系统会检查所有到达的数据包并将它的内容与一系列已知的攻击机制进行比对。将合法的活动当成攻击的错误判断会很少发生。它生成的报表很容易理解，因为每一个事件都标明了探测到的攻击类型。

　　虽然基于签名的系统对抗已知的攻击类型很有效，但是它们不能探测新出现的攻击。黑客也明白任何新的攻击类型会很快被探测到，并且入侵防御供应商很快就会有应对方法。因此，他们会在发现新的攻击方法时马上攻击大量的网站。

　　因此，基于签名的系统必须保持更新。供应商会收集和监控来自全世界的攻击报告。他们也会收集来自安装在客户的产品的数据。当其中一个客户受到攻击时，供应商会马上派人分析，然后开发出一个保护方法，并将更新分发给所有其他客户。虽然供应通常能够探测新的攻击方法并快速以给出防御方法，但是第一批受到攻击的已经受到了攻击破坏。

　　基于异常的入侵探测系统

　　基于异常的探测系统会探测与预期行为不相符的网络活动。系统会根据相应的产品匹配正常的活动模式。例如，应用正常时会一次只访问一条数据记录。如果入侵防御系统探测到有人在同时访问大量的记录，这很可能就是一个攻击。类似地，如果一个有权限访问一些受保护记录的用户试图访问其它类型的信息，那么该用户的工作机很可能已经感染病毒了。

　　跟基于签名的系统不同，新的攻击也会被探测到，因为这些攻击不匹配已经被基于异常的入侵检测系统识别的模式。所以只要发生了与正常行为不同的事件就会被探测到。基于异常的入侵防御系统的缺点它必须经过详细配置后才能识别活动预期的模式。配置必须在添加新的应用或现有应用修改后进行更新。如果合法的活动没有以平常模式运行，那么就可能发生错误判断。

　　配置IPS防御复杂攻击

　　对于攻击元素分布在多条命令的情况，如基于Web攻击的HTTP消息，会同时给基于签名和基于异常的系统带来难度。对于基于签名的系统，签名可以分布在一系列的命令中而使攻击模板匹配不到任何数据包。基于异常的系统可能无法探测同时针对多个主机发起的攻击。发送到每一个主机的序列可能都是合法的，但它们可能会让每台主机上的应用进行交互而进行破坏活动。

　　更麻烦的是，并不是所有数据包都从一个相同的点或网关进入网络的。虽然企业网络通常都会不止一个的连接到Internet的网关上配置入侵防御系统，防御所有的网关仍然是不够的。

　　病毒可能不是通过网关渗入网络的。员工可能会将笔记本电脑带回到他们保护措施比较弱的家庭网络中使用。当他们把感染病毒电脑重新连接到企业内部网络时，病毒就可以不经过Internet网关而进入企业网络。无线网络是另一个容易受到攻击的点，它们在实现一个入侵防御系统是不能被忽略的一部分。通过无线LAN（WLAN）的外部破坏同样也是绕过网关的。

　　入侵防御系统也必须安装在网络的关键点上（像连接网关到应用运行或连接数据库服务器的交换机）来探测这些攻击。系统必须能够互相交换信息，并评估来自路由器等的报告和主机日志，从而根据一连串数据包来检测出攻击。

　　相对于可以快速安装和马上使用的基于签名的系统，设计、配置和安装一个基于异常的系统会更加复杂些。本系列文章的下一篇将探讨配置和安装一个基于异常的系统的步骤。