IDS/IPS

IDS基本概念

入侵检测系统(intrusion detection system)IDS,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接任何链路,无须网络流量流经它便可以工作;

IDS的接入方式:并行接入(并联)

IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源。

这些位置通常是:

  • 服务器区域的交换机上
  • 边界路由器的相邻交换机上
  • 重点保护网段的局域网交换机上

IDS根据入侵检测的行为分为两种模式:异常检测和误用检测。

异常检测先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;

误用检测,则相反,先将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵;

 

IPS基本概念

入侵防御系统(IPS:intrusion prevention system)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter,Application Gateway)的补充。

IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时中断、调整或隔离一些不正常或具有伤害性的网络资料传输行为。

目前流行的攻击程序和有害代码如DoS(Denial of Service拒绝服务),DDoS(Distributed DoS分布式拒绝服务),暴力拆解(Brut-Force-Attack),端口扫描(Portscan)、嗅探,病毒,蠕虫,垃圾邮件,木马等等。

网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网络的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散,危害单机或网络资源。

防火墙可以根据IP地址或服务端口过滤数据包。但是,它对于利用合法地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。

在OSI模型中,防火墙主要在第2~4层起作用,它的作用在第4~7层一般很微弱。

                        防病毒软件主要在第5~7层起作用

为了弥补防火墙和防病毒软件在4、5层留下的空档,便有了IDS,入侵检测系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。

虽然亡羊补牢,为时未晚,但是,防卫机制最好应该是在危害形成之前先期起作用。

IPS应用而生。

 

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页