目錄

IDS入侵檢測系統(tǒng)

定義

工作原理

主要功能

主要類型：

主動被動

局限性：

IPS入侵檢測系統(tǒng)

定義

為什么會有IPS？

功能

主要類型

主動被動

IDS，IPS區(qū)別，選擇

IDS入侵檢測系統(tǒng)

定義

入侵檢測即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是 否有違反安全策略的行為或者是否存在入侵行為。入侵 檢測系統(tǒng)通常包含3個必要的功能組件：信息來源、分析引擎和響應(yīng)組件。

工作原理

1. 信息收集：信息收集包括收集系統(tǒng)，網(wǎng)絡(luò)，數(shù)據(jù)及用戶活動的狀態(tài)和行為，入侵檢測利用的信息一般來自：系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行這三個方面。
2. 信號分析：對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，是通過模式匹配、統(tǒng)計分析和完整性分析這三種手段進(jìn)行分析的。前兩種用于實(shí)時入侵檢測，完整性分析用于事后分析。
3. 告警與響應(yīng)：根據(jù)入侵性質(zhì)和類型，做出相應(yīng)的告警與響應(yīng)。 它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時監(jiān)控，在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。

主要功能

1. 實(shí)時監(jiān)測：實(shí)時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實(shí)時處理所捕獲的數(shù)據(jù)報文。
2. 安全審計：對系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計分析，發(fā)現(xiàn)異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)
3. 主動響應(yīng)：主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理

主要類型：

1. 基于主機(jī)的入侵檢測系統(tǒng)(HIDS)：基于主機(jī)的入侵檢測系統(tǒng)是早期的入侵檢測系統(tǒng)結(jié)構(gòu)，通常是軟件型的，直接安裝在需要保護(hù)的主機(jī)上。其檢測的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶，檢測原理是根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。
   1. 優(yōu)點(diǎn)：信息更詳細(xì)、誤報率要低、部署靈活。
   2. 缺點(diǎn)：會降低應(yīng)用系統(tǒng)的性能；依賴于服務(wù)器原有的日志與監(jiān)視能力；代價較大；不能對網(wǎng)絡(luò)進(jìn)行監(jiān)測；需安裝多個針對不同系統(tǒng)的檢測系統(tǒng)。
2. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)：
   1. 優(yōu)點(diǎn)：能夠檢測那些來自網(wǎng)絡(luò)的攻擊和超過授權(quán)的非法訪問；不需要改變服務(wù)器等主機(jī)的配置，也不會影響主機(jī)性能；風(fēng)險低；配置簡單。
   2. 缺點(diǎn)：成本高、檢測范圍受局限；大量計算，影響系統(tǒng)性能；大量分析數(shù)據(jù)流，影響系統(tǒng)性能；對加密的會話過程處理較難；網(wǎng)絡(luò)流速高時可能會丟失許多封包，容易讓入侵者有機(jī)可乘；無法檢測加密的封包；對于直接對主機(jī)的入侵無法檢測出。

主動被動

入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。絕大多數(shù)IDS系統(tǒng)都是被動的。也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。

局限性：

1. 誤報率高：主要表現(xiàn)為把良性流量誤認(rèn)為惡性流量進(jìn)行誤報。還有些IDS產(chǎn)品會對用戶不關(guān)心事件的進(jìn)行誤報。
2. 產(chǎn)品適應(yīng)能力差：傳統(tǒng)的IDS產(chǎn)品在開發(fā)時沒有考慮特定網(wǎng)絡(luò)環(huán)境下的需求，適應(yīng)能力差
3. 大型網(wǎng)絡(luò)管理能力差：首先，要確保新的產(chǎn)品體系結(jié)構(gòu)能夠支持?jǐn)?shù)以百計的IDS傳感器；其次，要能夠處理傳感器產(chǎn)生的告警事件；最后還要解決攻擊特征庫的建立，配置以及更新問題。
4. 缺少防御功能：大多數(shù)IDS產(chǎn)品缺乏主動防御功能。
5. 處理性能差：目前的百兆、千兆IDS產(chǎn)品性能指標(biāo)與實(shí)際要求還存在很大的差距。

IPS入侵檢測系統(tǒng)

定義

入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。

為什么會有IPS？

1. 串行部署的防火墻可以攔截低層攻擊行為，但對應(yīng)用層的深層攻擊行為無能為力。
2. 旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補(bǔ)充，但很可惜的是無法實(shí)時的阻斷。
3. IDS和防火墻聯(lián)動：通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個會話就可以達(dá)成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯(lián)動在實(shí)際應(yīng)用中的效果不顯著。
4. IDS與IPS的聯(lián)動：通過IDS的檢測分析，知道網(wǎng)絡(luò)的當(dāng)時實(shí)時狀況，據(jù)此狀況可進(jìn)一步判斷應(yīng)該在什么位置部署安全產(chǎn)品（IPS等）

功能

1. 入侵防護(hù)：實(shí)時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、Dos等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。
2. Web安全：基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測結(jié)果，結(jié)合URL信譽(yù)評價技術(shù)，保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截Web威脅。
3. 流量控制：阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護(hù)關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。
4. 上網(wǎng)監(jiān)管：全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

主要類型

1. 基于特征的IPS
   1. 這是許多IPS解決方案中最常用的方法。把特征添加到設(shè)備中，可識別當(dāng)前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調(diào)整和更新，以應(yīng)對新的攻擊。
2. 基于異常的IPS
   1. 也被稱為基于行規(guī)的IPS?；诋惓５姆椒梢杂?strong>統(tǒng)計異常檢測和非統(tǒng)計異常檢測。
3. 基于策略的IPS
   1. 它更關(guān)心的是是否執(zhí)行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發(fā)報警。使用這種方法的IPS，要把安全策略寫入設(shè)備之中。
4. 基于協(xié)議分析的IPS
   1. 它與基于特征的方法類似。大多數(shù)情況檢查常見的特征，但基于協(xié)議分析的方法可以做更深入的數(shù)據(jù)包檢查，能更靈活地發(fā)現(xiàn)某些類型的攻擊。

主動被動

IPS傾向于提供主動防護(hù)，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性 網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送 時或傳送后才發(fā)出警報。文章來源地址http://www.zghlxwxcb.cn/news/detail-404279.html

IDS，IPS區(qū)別，選擇

1. 入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數(shù)據(jù)進(jìn)行檢測和報警，告知使用者網(wǎng)絡(luò)中的實(shí)時狀況，并提供相應(yīng)的解決、處理方法，是一種側(cè)重于風(fēng)險管理的安全產(chǎn)品。
2. 入侵防御系統(tǒng)（IPS）對那些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行檢測和防御，降低或是減免使用者對異常狀況的處理資源開銷，是一種側(cè)重于風(fēng)險控制的安全產(chǎn)品。
3. IDS和IPS的關(guān)系，并非取代和互斥，而是相互協(xié)作：沒有部署IDS的時候，只能是憑感覺判斷，應(yīng)該在什么地方部署什么樣的安全產(chǎn)品，通過IDS的廣泛部署，了解了網(wǎng)絡(luò)的當(dāng)前實(shí)時狀況，據(jù)此狀況可進(jìn)一步判斷應(yīng)該在何處部署何類安全產(chǎn)品（IPS等）。
4. IPS對于初始者來說，是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。IPS檢測到攻擊，會在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信。而IDS只是存在于你的網(wǎng)絡(luò)之外起到報警的作用，而不是在你的網(wǎng)絡(luò)前面起到防御的作用。
5. IPS檢測攻擊的方法也與IDS不同。一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。
6. IPS對外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)（串聯(lián)部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的 網(wǎng)絡(luò)出口處。），入侵防御系統(tǒng)即可實(shí)時分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網(wǎng)絡(luò)邊界進(jìn)入網(wǎng)絡(luò)。
7. 入侵檢測系統(tǒng)的核心價值在于通過對全網(wǎng)信息的分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整，而入侵防御系統(tǒng)的核心價值在于安全策略的實(shí)施—對黑客行為的阻擊；入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對內(nèi)部攻擊行為無能為力。IPS可以理解為深度Firewall。

到了這里，關(guān)于什么是IDS IPS以及IDS，IPS的區(qū)別的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！