IPS与IDS

最新推荐文章于 2024-05-10 20:30:00 发布
最新推荐文章于 2024-05-10 20:30:00 发布
阅读量2.5k 收藏 3
点赞数 2
分类专栏: 计算机网络 文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69926138/article/details/127901233
版权

IDS与IPS

文章目录

IDS入侵检测系统 Intrusion Detection Systems

IDS主要检测系统内部,运行在被监控的主机上,对主机的网络行为、系统日志、进程和内存等指标进行监控。

​ IDS 专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

​ IDS 通常采用旁路接入,在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源,这些位置通常是:

  • 服务器区域的交换机上
  • Internet 接入路由器滞后的第一台交换机上
  • 重点保护网段的局域网交换机上

​ IDS 主要针对已发生的攻击事件或异常行为进行处理,属于被动防护。以 NIDS 为例:NIDS 以旁路方式,对所监测的网络数据进行获取、还原,根据签名进行模式匹配,或者进行一系列统计分析,根据结果对有问题的会话进行阻断,或者和防火墙产生联动。IDS 的致命缺点在于阻断 UDP 会话不太灵,对加密的数据流束手无策。

IPS入侵防御系统 Intrusion Protection Systems

IPS检测在系统的防火墙和外网之间,针对流向内部的流量进行分析。监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

​ IPS 入侵防御系统是电脑网络安全设施,是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

​ IPS 通常采用 Inline 接入,在办公网络中,至少需要在以下区域部署:

  • 办公网与外部网络的连接部位(入口 / 出口)
  • 重要服务器集群前端
  • 办公网内部接入层。

​ IPS 针对攻击事件或异常行为可提前感知及预防,属于主动防护。根据设置的过滤器,分析相对应的数据包,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。

​ 对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。

IDS、IPS比较

IDS

  • 误报、漏报率高

​ IDS系统在识别 “大规模组合式、 分布式入侵攻击” 方面,还没有较好的解决方法,误报与漏报现象严重。 误报使得大量的报警事件分散管理员的精力, 反而无法对真正的攻击作出反应。 与误报相对应的是漏报, 随着攻击方法的不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。

  • 没有主动防御能力

​ IDS技术采用了一种预设置式、 特征分析式工作原理, 所以检测规则的更新总是落后于攻>击手段的更新, 无法主动发现网络中的安全隐患和故障。 另外, IDS只是检测和报警, 并不具有真正的防御和阻止攻击的能力,在报警的同时, 攻击已经发生了。

  • 不能解析加密数据流

​ 对于加密的通信来说,IDS是无能为力的。

IPS

  • 同时具备检测和防御功能

​ IPS 不仅能检测攻击还能阻止攻击, 做到检测和防御兼顾,而且是在入口处就开始检测, 而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。

  • 可检测到IDS检测不到的攻击行为

​ IPS是在应用层的内容检测基础上加上主动响应和过滤功能, 弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足, 填补了网络安全产品基于内容的安全检查的空白。

  • IPS是一种失效既阻断机制

​ 当IPS被攻击失效后, 它会阻断网络连接, 就像防火墙一样, 使被保护资源与外界隔断。

​ IPS 的阻断方式较 IDS 更为可靠,可以中断拦截 UDP 会话,也可以做到确保符合签名规则的数据包不漏发到被保护区域。

​ IPS 致命的缺点是同样硬件的情况下,性能比 IDS 低的多。实际应用中,误杀漏杀和 IDS 一样,主要是签名库决定的。但是随着 UDP 协议的广泛使用,IPS 在 UDP 上的误杀率可能会高于 IDS。

IDS、IPS与防火墙

​ 入侵检测系统 (IDS) 和入侵防御系统 (IPS) 会不断地监看您的网络,识别可能的事故并记录相关信息,阻止事故发生,并向安全管理员报告这些事故。另外,一些网络使用 IDS/IPS 来通过安全策略识别问题并制止个人违反安全策略。IDS/IPS 已成为大多数组织的安全基础架构中不可或缺的一部分,恰恰是因为它们既可以阻止攻击,又可以收集有关网络的信息。

image-20221117113221962

​ 部分防火墙结合了 IDS / IPS 的部分功能。但是,并非所有防火墙都是如此,大多数防火墙与IDS/IPS是各自独立的。此大多数情况下,防火墙会阻止和过滤网络流量,而 IDS 和 IPS 会根据配置检测并警告或阻止漏洞利用尝试。防火墙根据配置的策略过滤流量后,IDS 和 IPS 对流量实施操作。

lighthearte
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安全产品的核心逻辑-IPS/IDS
ducc20180301的博客
08-04 2675
概述 在《软件定义安全》中介绍了,所有的安全产品本质上就是对安全业务的软件开发,在《安全产品的核心逻辑-防火墙》中介绍了防火墙的核心点和核心逻辑。本文介绍ips/ids的核心内容和核心逻辑。 一、IPS/IDS作用 IPS(Intrusion Prevention System)入侵防御系统,部署在网络入口,一般放在防火墙后面,通过分析网络流量,检测攻击行为,并实时阻断攻击行为,保护企业信息系统不受侵害。IDS(Intrusion Detection System)入侵检测系统,和IPS的主要差异
IPS/IDS
a1245678899的博客
01-12 301
入侵检测系统/入侵防御系统
入侵检测系统(IDS)与入侵防御系统(IPS)部署:自动检测和阻止恶意行为
图幻未来的博客
03-12 734
随着信息技术的飞速发展以及互联网的普及应用, 网络安全问题日益严重和复杂化. 入侵检测系统和入攻击防系统是保障计算机网络安全的有效手段之一, 能够有效地发现和防范各种网络威胁及黑客行为.本文主要介绍入侵检测系统及入侵防护系如何部署才能更准确、高效地识别并遏制各类恶意行为.---
linux(centos)系统安全snort——搭建入侵检测系统IDS
07-18
这是本人亲自测试整理和调试过的实验报告文档,本人亲测过没有问题的snort在linux系统中搭建步骤报告文档,为了和大家分享学习!
安全 | 开源入侵防御系统 Snort
最新发布
白帽黑客佳哥的博客
05-10 919
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。作为一个开源网络入侵预防系统,Snort 将监视网络流量,并将其与用户定义的 Snort 规则集进行比较——该文件将被标记为 Snort. conf,这是 Snort 最重要的功能。当 Snort 检测到可疑行为时,它充当防火墙,并向 Syslog 发送实时警报,或发送到单独的警报文件,或通过弹出窗口发送。Snort 对监视的流量应用规则,并在检测到网络上某些类型的可疑活动时发出警报。
IPSIDS部署场景
热门推荐
曹世宏的博客
08-18 3万+
IPS原理可参考:入侵防御IPS技术 NIP介绍 NIP简介: NIP是华为的IPS设备。 NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。 NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,...
【网络安全】网络入侵检测——入侵防御系统
Spontaneous_0的博客
10-11 759
入侵防御系统(IPS)是一种用于阻止网络或系统中潜在威胁的设备或软件应用。它可以帮助我们防止攻击者的入侵。IPSIDS的一个扩展,它不仅可以检测威胁,还可以阻止威胁。
安全 | 开源入侵防御系统 Snort
DynmicResource的博客
06-16 3221
theme: orange 持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第21天,点击查看活动详情 ???? 个人主页:@青Cheng序员石头 Snort 概要 是世界上最重要的开源入侵防御系统 (IPS)。其由 Sourcefire 创始人、前首席技术官 Martin Roesch 创建,目前由Cisco开发和维护。 Snort 概要 Snort ...
IDSIPS讲解
12-04
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入...
理解IPS-IDS工作原理和机制
08-02
理解IPS-IDS工作原理和机制,本文首先分别介绍了入侵检测机制IDS(Intrusion Detection System)和入侵防御机制IPS(Intrusion Prevention System)的工作原理和实现机制。然后深入讨论了IDSIPS的区别和各自的应用...
IPS-IDS.rar
12-19
【标题】"IPS-IDS.rar" 提供的是一个与入侵检测和防御系统(Intrusion Prevention System - Intrusion Detection System)相关的压缩包。IPS-IDS是网络安全领域中的关键组件,它们用于监控网络流量,识别并阻止潜在...
IDSIPS.docx
09-06
IDSIPS
IDS IPS 流量回放包
05-20
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入...
centos7平台手动搭建snort入侵检测系统
Solvethebug的博客
07-11 1511
centos平台搭建snort入侵检测系统 #centos平台搭建snort入侵检测系统 ## centos平台搭建snort入侵检测系统 参考:https://blog.csdn.net/qq_42196196/article/details/88718920 一、搭建环境 我使用的是VMware搭建的centos7的环境: 1、配置更新源: yum install -y wget # 下载wget wget -O /etc/yum.repos.d/CentOS-Base.rephttp://mirro
IDSIPS部署位置
IT技术
09-25 5801
1、IDS一般都是旁挂 2、IPS是串联:
这款免费开源网络分析和威胁检测软件很牛!一文带你走进Suricata IDS
网络技术联盟站
08-06 464
Suricata 是由 OSIF 开发的免费开源网络分析和威胁检测软件,它可以用作入侵检测系统(IDS)和入侵防御系统(IPS),使用规则集和签名语言来检测和预防威胁。它是 Snort 的替代方案,可以从安全角度深入了解网络上发生的情况。在本教程中,我将向您展示如何在 Ubuntu 22.04 服务器上安装 Suricata。您还可以从 Ubuntu 存储库安装 Suricata。在验证 Suricata 之前,您需要禁用网络接口上的数据包卸载功能。
最好用的五大开源入侵检测工具
2301_76161259的博客
04-12 1710
作为网络安全专业人士,我们一直在阻止攻击者访问我们的网络,但随着移动设备,分布式团队和物联网(IoT)的兴起,使得对网络的保护更加困难。网络安全工作者不得不引起重视的问题是,当攻击者成功攻陷你的网络时,你发现攻击的时间越长,数据泄露所造成的损失越大。通过采用强大的事件响应计划支持的可靠入侵检测系统(IDS),用户可以减少漏洞的潜在损害。IDS通常分为两组:基于特征码的IDS,它会通过扫描发现它们存在的已知的恶意流量并进行警报。此外还有基于异常的IDS,它会通过查看基线来暴露异常状况。
【信息收集】防火墙、WAF、IPSIDS介绍及 WAF检测的python实现(十一)
微雨停了的博客
04-18 8777
文章目录一、防火墙、WAF、IPSIDS介绍1.1 防火墙 (Firewall)1.2 WAF (Web Application Firewall) Web应用防火墙1.3 IDS (Intrusion Detection System) 入侵检测系统1.4 IPS (Intrusion Prevention System) 入侵防御系统二、WAF分类2.1 云WAF2.2 硬件WAF2.3 软件WAF2.4开源型WAF2.5 网站内置的WAF三、WAF功能2.1 审计2.2 访问控制设备2.3 Web应
IPSIDS面试题
11-07
IPSIDS是网络安全领域中常见的两种安全设备,它们的作用是检测和防御网络中的攻击行为。IPSIDS面试题主要涉及以下几个方面: 1. IPSIDS的定义和区别:IPS是入侵防御系统,它可以检测和阻止网络中的攻击行为;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lighthearte

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值