什麼是IDS和IPS

2022-09-03 16:33:11 字數 3936 閱讀 1262

ids(intrusion detection systems):入侵檢測系統

通過軟體 硬體對網路 系統的執行狀況進行監視,盡可能的發現各種攻擊企圖,攻擊行為或者是攻擊結果,以保證網路系統資源的完整性 機密性以及可用性.

與防火牆不同的是,ids入侵檢測系統是乙個旁路監聽裝置,沒有也不需要跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對ids的部署的唯一要求是:ids應當掛接在所有所關注的流量都必須流經的鏈路上。在這裡,「所關注流量」指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文

ids在交換式的網路結構中的位置一般是在1.盡可能的靠近攻擊源   2.盡可能的靠近受保護資源

企業環境下的ids設計架構如下圖所示:

1. ids一般部署在防火牆之後。

2. 在上面的設計圖中,location 1部署的ids用於保護web伺服器。

3. location 2部署的ids用於保護餘下的網路元件免受惡意軟體的危害。

4. 這是乙個基於網路的ids,而並非基於主機的ids,因此它無法檢測到網路中兩台主機之間所生成的惡意軟體

ips(intrusion prevention system):入侵防禦系統ips位於防火牆和網路的裝置之間。這樣,如果檢測到攻擊,ips會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通訊隨著網路攻擊技術的不斷提高和網路安全漏洞的不斷發現,傳統防火牆技術加傳統ids的技術,已經無法應對一些安全威脅。在這種情況下,ips技術應運而生,ips技術可以深度感知並檢測流經的資料流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網路頻寬資源。

對於部署在資料**路徑上的ips,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏於其中網路攻擊,可以根據該攻擊的威脅級別立即採取抵禦措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次tcp連線。

進行了以上分析以後,我們可以得出結論,辦公網中,至少需要在以下區域部署ips,即辦公網與外部網路的連線部位(入口/出口);重要伺服器集群前端;辦公網內部接入層。至於其它區域,可以根據實際情況與重要程度,酌情部署。

ids技術與ips技術有乙個重要的區別。ips技術可以對檢測出的威脅進行響應,通過嘗試防止攻擊。按照他們使用的響應技術,可分為以下幾類。

1)ips的響應技術

a. ips可以阻止攻擊本身。它可以使攻擊的網路連線或使用者會話終止,並阻止攻擊者的帳號、ip位址、或其他屬性。

b. ips可以改變安保環境。ips可以改變安保控制的配置瓦解攻擊。

c. ips可以改變攻擊內容。ips技術可以移去或更換攻擊的惡意部分,使其成為良性報文。

2)ips的方法

ips使用多種方法保護網路。

a.基於特徵的ips

這是許多ips解決方案中最常用的方法。把特徵新增到裝置中,可識別當前最常見的攻擊。這就是為什麼它也被稱為模式匹配ips。特徵庫可以新增、調整和更新,以應對新的攻擊。

b.基於異常的ips

它也被稱為基於行規的ips。它試圖找出偏離工程師定義為正常的活動。基於異常的方法可以用統計異常檢測和非統計異常檢測。基於策略的ips:它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的ips,要把安全策略寫入裝置之中。

c.基於協議分析的ips

它與基於特徵的方法類似。大多數情況檢查常見的特徵,但基於協議分析的方法可以做更深入的資料報檢查,能更靈活地發現某些型別的攻擊。

3) ips技術

ips基本上有兩大主流技術,基於主機和基於網路的。

a.基於主機的ips-hips

hips監視單個主機的特性和發生在主機內可疑活動的事件。hips的例子可以是監視有線和無線網路資訊流、系統日誌、執行過程、檔案訪問和修改、系統和應用配置的變化。大多數hips具有檢測軟體,安裝在**的主機上。每個**監視一台主機上的活動,並執行預防行動。**將資料傳輸到管理伺服器。每個**通常用於保護伺服器、台式電腦或膝上型電腦、或者應用服務。

hips在要監視的主機上安裝感測器(sensor),這會影響主機效能,因為感測器要消耗資源。

b.基於網路的ips-nips

nips如圖3所示,nips監視特定網段或裝置的網路流量,並分析網路、傳輸和應用的協議,識別可疑的活動。

除了感測器,nips元件類似於hips技術。nips感測器監視和分析乙個或多個網路段上的網路活動。感測器有兩種格式:裝置感測器,它由專門的硬體和軟體組成,並針對nips使用進行了優化;軟體感測器,可以安裝到符合特定規範的主機上。

企業環境下的ips設計架構如下圖所示:

基於主機的ids只能夠監控乙個系統,它執行在你需要保護的主機之中,它能夠讀取主機的日誌並尋找異常。但需要注意的是,當攻擊發生之後,基於主機的ids才能夠檢測到異常。基於網路的ips能夠檢測到網段中的資料報,如果基於網路的ips設計得當的話,它也許能夠代替基於主機的ips。基於主機的ids其另乙個缺點就是,網路中的每一台主機都需要部署乙個基於主機的ids系統。你可以設想一下,如果你的環境中有5000臺主機,這樣一來你的部署成本就會非常高了。

你可以在一台物理伺服器或虛擬伺服器中安裝ids,但你需要開啟兩個介面來處理流入和流出的網路流量。除此之外,你還可以在ubuntu伺服器(虛擬機器)上安裝類似snort的ids軟體。

在乙個網路中,幾乎所有的流量都要經過路由器。路由器作為乙個網路系統的閘道器,它是系統內主機與外部網路互動的橋梁。因此在網路安全設計架構中,路由器也是ids和ips系統可以考慮部署的地方。目前有很多可以整合進路由器的第三方軟體,而它們可以構成網路系統抵禦外部威脅的最前線。

防火牆與ids之間的區別在於,防火牆看起來可以防止外部威脅進入我們的網路,但它並不能監控網路內部所發生的攻擊行為。很多廠商會在防火牆中整合ips和ids,這樣就可以給防火牆又新增了一層保護功能。

對於那些將自己的檔案和應用託管在雲端的使用者來說,雲服務提供商是否部署了ids也許會成為客戶考慮的其中乙個因素。除此之外,使用者還可以部署snort ids(社群版)來監控和感知威脅。

雲環境下的ids架構如下圖所示:

隨著越來越多的使用者開始使用物聯網裝置或智慧型家居裝置,因此我們還要考慮如何防止iot裝置遭受外部惡意軟體的攻擊。由於考慮到裝置功能和容量大小會不同,因此我們也許要根據裝置的效能來設計自定義的ids。

智慧型家居環境下的isd/ips部署架構如下圖所示:

現在有很多機器學習演算法能夠檢測異常並生成警告。機器學習演算法可以對惡意行為的模式進行學習,即使惡意行為發生改變,它也能夠迅速生成警報。

在設計網路安全架構的過程中,我們需要考慮的關鍵因素就是將ids/ips部署在何處。根據網路以及客戶環境的不同,我們可以選擇的設計方法有很多種。隨著物聯網裝置和智慧型家居裝置的興起,ids和ips系統的重要性也不言而喻。值得一提的是,我們現在遇到的絕大多數的網路攻擊之所以能夠成功,正是因為這些系統並沒有正確部署入侵檢測系統。

什麼是IDS和IPS

ids intrusion detection systems 入侵檢測系統 通過軟體 硬體對網路 系統的執行狀況進行監視,盡可能的發現各種攻擊企圖,攻擊行為或者是攻擊結果,以保證網路系統資源的完整性 機密性以及可用性.與防火牆不同的是,ids入侵檢測系統是乙個旁路監聽裝置,沒有也不需要跨接在任何鏈...

IPS和IDS的區別

入侵檢測系統 ids ids intrusion detection systems,入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統 執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。入侵防禦系統 ips ips intrusio...

IDS與IPS的區別是什麼?

ids 入侵檢測系統 ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,通過軟 硬體,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。做乙個...