一、IDS概述、分類

IDS概述
IDS，intrusion detection system，入侵檢測系統，其對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備，是一種積極主動的安全防護技術。與防火墻不同的是，IDS入侵檢測系統是一個旁路監聽設備，沒有也不需要跨接在任何鏈路上，無須網絡流量流經它便可以工作。IDS應當掛接在所有所關注的流量都必須流過的鏈路上。此流量是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。IDS應盡可能靠近攻擊源、盡可能靠近受保護資源，其也可以和防火墻進行聯動的來阻攔入侵的行為，IDS放置位置包含：服務器區域的交換機上、邊界路由器的相鄰交換機上、重點保護網段的局域網交換機上。
IDS分類
1、按入侵檢測形態分：硬件入侵檢測、軟件入侵檢測
2、按目標系統的類型分：網絡入侵檢測、主機入侵檢測、混合型入侵檢測
3、按系統結構分：集中式、分布式

二、IDS作用、功能

必要性
網絡安全本身的復雜性，被動式的防御方式顯得力不從心，而防火墻等網絡邊界的設備自身可以被攻破，其對某些攻擊保護很弱，由于入侵教程隨處可見、各種工具唾手可得，入侵很容易。
作用
IDS可以作為防火墻的重要補充、是構建網絡安全防御體系重要環節，其可以克服傳統防御機制的限制。
功能
監測并分析用戶和系統的活動、核查系統配置和漏洞、對操作系統進行日志管理、并識別違反安全策略的用戶活動、針對已發現的攻擊行為作出適當的反應，如告警、中止進程等。

三、IDS架構、工作過程

架構
1、事件產生器：從整個計算環境中獲得事件，并向系統的其他部分提供此事件。
2、事件分析器：分析數據，發現危險、異常事件，通知響應單元。
3、響應單元：對分析結果作出反應。
4、事件數據庫：存放各種中間和最終數據。
工作過程
1、對當前系統或用戶的行為進行監控，并根據：系統日志、應用日志、網絡數據、審計記錄或其他IDS報警進行信息收集。
2、事件分析器對收集的信息或知識庫中的歷史行為、特定行為模式等進行入侵分析，分析引擎進行異常檢測、誤用檢測等，并判斷是否為入侵行為。
3、若確定是入侵行為，則進行告警響應。

四、IPS概述、分類

IPS概述
IPS，Intrusion Prevention System，入侵防御系統，IPS是一種安全設備或軟件，串行部署在設備中，其用于監測和阻止網絡和計算機系統中的惡意行為和安全威脅。與入侵檢測系統（IDS）不同，IPS可以在檢測到威脅時，自動阻止攻擊并采取行動，以保護網絡和系統的安全。IPS能夠監視網絡或網絡設備的網絡資料傳輸行為，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。對于部署在數據轉發路徑上的IPS，可以根據預先設定的安全策略，對流過的每個報文進行深度檢測，一旦發現網絡攻擊，可以根據該攻擊的威脅級別立即采取抵御措施。
IPS分類
1、NIPS，Network-based IPS，網絡入侵防御系統，NIPS是安裝在網絡上的設備或軟件，它可以監測網絡流量，分析網絡中的數據包和協議，以檢測和阻止威脅。
2、HIPS，Host-based IPS，主機入侵防御系統，HIPS是安裝在單個主機上的軟件，它可以監測該主機上的文件、系統調用和網絡連接等，以檢測和阻止惡意行為和威脅。

五、IPS作用、主要功能

作用
1、實時監測網絡流量和系統日志，及時發現并阻止惡意攻擊，保障網絡安全。
2、基于簽名庫和異常檢測技術，可以發現已知和未知的攻擊，提高安全防護能力。
3、通過防止網絡攻擊，可以避免數據泄露和系統癱瘓等風險，保護企業的財產和聲譽。
4、提供實時的警報和事件日志，幫助管理員及時發現異常行為和攻擊，減少安全漏洞的影響。
5、支持自動化防御和快速響應機制，可以在攻擊發生時立即采取防御措施，降低風險并提高安全性。
6、結合其他安全設備和技術，形成綜合的安全防護策略，提高網絡安全的整體水平。
主要功能之：監控
1、流量監控：通過實時監控網絡流量，分析數據包的內容和特征，以識別潛在的惡意活動和攻擊行為。
2、惡意行為檢測：使用多種檢測方法（如簽名匹配、異常檢測和行為分析）來識別惡意行為。這些方法可以幫助IPS實時發現已知和未知的攻擊。
3、預警和報警：當檢測到潛在的安全事件時，它會生成預警和報警信息，通知安全團隊采取相應的措施。這些報警可以通過郵件、短信或其他通知方式發送給相關人員。
4、實時阻斷：具有實時阻斷功能，可以在檢測到攻擊時立即采取措施，如丟棄惡意數據包、重置連接或阻止攻擊者的IP地址。這有助于減輕攻擊的影響，保護網絡資源和數據。
5、事件記錄和日志：記錄檢測到的安全事件和處理措施，生成詳細的日志信息。這些日志可以用于進一步分析和審計，以提高網絡安全防御能力。
6、集成與協同：IPS可以與其他安全工具（如SIEM、防火墻和入侵檢測系統）集成，共享威脅情報和事件數據，實現更全面、高效的實時安全事件監控。
主要功能之：相應和處置
1、實時檢測和監控：實時檢測和監控網絡流量和系統日志，發現安全事件和威脅，提供實時的警報和事件日志。
2、威脅情報共享：與其他安全設備和安全組織共享威脅情報，及時獲取最新的攻擊信息和防御策略。
3、自動化防御和快速響應：自動化防御和快速響應機制，可以在攻擊發生時立即采取防御措施，降低風險并提高安全性。
4、精確的攻擊定位：精確地定位攻擊源和攻擊目標，幫助管理員快速定位和處置安全事件。
5、提供詳細的日志和報告：提供詳細的日志和報告，記錄安全事件和威脅情況，幫助管理員分析和評估安全狀況。
6、支持與安全管理系統集成：IPS與安全管理系統集成，通過集中管理和控制，實現對全局安全事件的監控和管理，提高響應效率和準確性。
主要功能之：勢態感知和可視化
1、實時監測和分析：實時監測網絡流量和系統日志，分析數據流量和事件，發現安全威脅和異常行為，幫助管理員了解網絡安全情況。
2、數據聚合和分析：將不同來源的數據聚合起來，并進行分析，形成綜合的安全態勢感知，幫助管理員快速發現網絡威脅和安全漏洞。
3、可視化展示：將分析結果以圖表、圖形、地圖等形式進行可視化展示，幫助管理員直觀地了解網絡安全態勢，發現安全問題和威脅。
4、預警和報告：通過預警和報告功能，及時向管理員發出安全預警和報告，幫助管理員及時采取措施，保護網絡安全。
5、支持與安全管理系統集成：與安全管理系統集成，通過集中管理和控制，實現對全局網絡安全態勢的監控和管理，提高安全感知和可視化的效率和準確性。

六、IPS主要目標、核心組件

主要目標
1、防止攻擊：防止各種類型的攻擊，例如拒絕服務攻擊、網絡蠕蟲、惡意軟件、網絡釣魚等，以保護網絡和系統的安全。
2、監測網絡流量：監測網絡流量，分析網絡中的數據包和協議，以檢測和阻止威脅。
3、監測系統調用和文件：監測系統調用和文件，以檢測和阻止惡意行為和威脅。
4、自動阻止攻擊：自動阻止攻擊并采取行動，例如關閉連接、終止進程等，以保護網絡和系統的安全。
5、提高網絡和系統的安全性：幫助組織及時發現和響應安全事件，減少安全漏洞的損害，并提高網絡和系統的安全性。
6、輔助安全管理：提供詳細的安全事件報告和日志，輔助安全管理人員進行安全事件的分析和管理。
核心組件
1、簽名庫：包含已知攻擊的特征和規則，用于檢測和防御已知的攻擊。
2、異常檢測引擎：用于檢測未知攻擊和異常行為，通過分析網絡流量和系統日志等信息來發現攻擊。
3、阻止引擎：根據檢測到的攻擊類型和威脅級別，采取相應的阻止措施，例如阻止網絡連接或關閉相關服務。
4、管理控制臺：用于配置和管理IPS系統，包括更新簽名庫、配置檢測規則、查看警報和日志等。
5、日志和報告系統：用于記錄IPS系統的活動和事件，生成報告和分析數據，幫助管理員監控和評估系統的安全狀況。

七、IDS和IPS的區別

功能和目的
入侵檢測系統（IDS）主要關注監控網絡流量，檢測潛在的惡意活動和攻擊行為，并在發現異常時發出警報。而入侵防御系統（IPS）不僅具有檢測功能，還具有阻止或減輕攻擊的能力。簡而言之，IDS主要用于發現問題，而IPS旨在解決問題。
響應方式
當IDS檢測到潛在的安全事件時，它會生成警報并通知安全團隊。然而，IDS本身無法采取措施阻止攻擊。相反，IPS在檢測到攻擊時可以自動采取實時阻斷措施，如丟棄惡意數據包、重置連接或阻止攻擊者的IP地址。
部署位置
IDS通常部署在網絡的邊緣，用于監控進出網絡的流量。而IPS則位于網絡的內部，介于防火墻和內部網絡之間，以實現對網絡流量的實時監控和阻斷。
性能影響
由于IPS需要實時分析和處理網絡流量，因此可能對網絡性能產生一定影響。而IDS通常對網絡性能的影響較小，因為它主要關注監控和警報，而不涉及實時阻斷。
復雜性和管理
IPS通常比IDS更復雜，因為它需要更精細的策略和規則配置，以防止誤報和誤阻斷。此外，IPS的管理和維護工作量也可能較大，因為它需要不斷更新和優化阻斷策略。