IPS 和 IDS

IPS/IDS

什么是IPS和IDS

IDS/IPS是检测和防止对网络服务器进行未授权的访问的系统。有许多产品同时有IDS和IPS的作用，作为加强企业信息安全所必须的系统

什么是IDS(Intrusion Detection System)入侵检测系统？

IDS（入侵检测系统）是一种安全工具，旨在检测计算机系统、网络或应用程序中的恶意活动和安全漏洞。它通过监视计算机系统、网络或应用程序的活动来检测潜在的入侵行为，并发出警报以通知管理员采取适当的措施。依照一定的安全策略，通过软件、硬件、对网络、系统的运行状况进行监视尽可能的发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

根据检测位置的不同可以分为：

• NIDS（Network- based intrusion detection system）

• Network- based intrusion detection system

根据检测的方式可以分为：

• 基于特征
  • 模式匹配
  • 状态匹配
• 基于异常
  • 基于统计异常
  • 基于协议异常
  • 基于流量异常
  • 规则行或启发型

NIDS和HIDS

NIDS

基于网络的IDS是一种安全工具，旨在监控网络流量以检测潜在的入侵行为和安全漏洞。NIDS通常由以下几个部分组成：

1. 传感器：用于检测网络流量，并将数据传输给IDS管理器进行分析
2. IDS管理器：用于分析传感器收集的数据，检测潜在的入侵行为并发出警报
3. 数据库：用于存储事件、警报和其他与入侵检测相关的信息

基于网络的IDS可以帮助组织及时发现和响应入侵行为，减少入侵对计算机系统、网络或应用程序的影响。但是，基于网络的IDS也有一些局限性，例如对于加密流量的检测能力较弱，可能存在误报或漏报等问题

HIDS

HIDS是一种基于主机的入侵检测系统，旨在检测单个计算机或服务器上的恶意活动和安全漏洞。HIDS通过监视主机上的系统日志、文件和进程等活动来检测潜在的入侵行为，并发出警报以通知管理员采取措施。

HIDS可以帮助组织及时发现和响应入侵行为，减少入侵对单个计算机或服务器的影响，也有它的局限性。由于HIDS仅监视单个主机，因此它通常与网络IDS（NIDS）和入侵检测和预防系统（IDPS）一起使用，以提高整个网络的安全性。

系统分类

IDS解决方案有一系列不同的类型和不同的功能。常见的入侵检测系统 （IDS） 类型包括：

1. 网络入侵检测系统 （NIDS）：NIDS 解决方案部署在组织网络内的战略点，以监控传入和传出流量。此 IDS 方法监视和检测进出连接到网络的所有设备的恶意和可疑流量。
2. 主机入侵检测系统 （HIDS）：HIDS 系统安装在连接到 Internet 和组织内部网络的单个设备上。此解决方案可以检测来自企业内部的数据包以及 NIDS 解决方案无法检测的其他恶意流量。它还可以发现来自主机的恶意威胁，例如主机感染了恶意软件，试图将其传播到组织的系统中。
3. 基于特征码的入侵检测系统 （SIDS）：SIDS 解决方案监控组织网络上的所有数据包，并将其与已知威胁数据库上的攻击特征进行比较。
4. 基于异常的入侵检测系统 （AIDS）：此解决方案监视网络上的流量，并将其与被视为“正常”的预定义基线进行比较。它可以检测网络中的异常活动和行为，包括带宽、设备、端口和协议。艾滋病解决方案使用机器学习技术来构建正常行为的基线并建立相应的安全策略。这可确保企业能够发现 SIDS 等解决方案无法发现的不断演变的新威胁。
5. 周界入侵检测系统 （PIDS）：将 PIDS 解决方案放置在网络上，以检测在组织关键基础设施周边发生的入侵尝试。
6. 基于虚拟机的入侵检测系统 （VMIDS）：VMIDS 解决方案通过监视虚拟机来检测入侵。它使组织能够监视其设备连接到的所有设备和系统的流量。
7. 基于堆栈的入侵检测系统（SBIDS）：SBIDS被集成到组织的传输控制协议/互联网协议（TCP/IP）中，该协议用作专用网络上的通信协议。此方法使 IDS 能够在数据包通过组织网络时监视数据包，并在应用程序或操作系统处理它们之前拉取恶意数据包。

什么是IPS (Intrusion Prevention System) 入侵预防系统

依照一定的安全策略，通过软件、硬件、对网络、系统的运行状况进行监视尽可能的发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。是对防病毒软件和防火墙的补充，入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS工作原理

IPS通常连续部署，它们位于源和目标之间的直接通信路径中，可以“实时”分析该路径上的所有网络流量，并采取自动预防措施。IPS可以部署在网络上的任何地方，常见的部署：

• 企业边缘、周界
• 企业数据中心

IPS 用来识别恶意流量的特定签名，既可以是弱点也可以是漏洞。识别恶意活动的方式通常是基于对签名或统计异常的检测。

一旦 IPS 识别了可以利用网络的恶意流量，它就会部署所谓的虚拟补丁进行保护。虚拟补丁是针对利用已知和未知漏洞的威胁而采取的安全措施。虚拟补丁通过实施多层安全策略和规则来防止和拦截攻击者通过网络利用漏洞，从而在网络层面，而不是主机层面，提供针对该漏洞的安全覆盖。

IPS VS IDS

IPS 是入侵检测系统 (IDS) 演变而来的结果。IDS 技术使用相同的流量识别概念和一些类似技术，其中的主要区别是 IPS 为“连续”部署，而 IDS 为“分散”部署或可随时使用，IDS 仍然检查整个流量或流程，但无法采取任何预防措施。IDS 仅被部署于监控并提供有关网络威胁的分析和可见性。

从外部访问公司发布的服务对于客户和业务合作伙伴是必需的。因此，不可能阻止来自外部的任何通信。设置IDS来监控未授权或者合法的访问。IDS会在发现未授权访问的时候立即通知，另一方面，IPS负责阻止检测到的异常，会在不通知的时候关闭未授权的访问，从而实现快速访问。