入侵檢測(cè)系統(tǒng)?(IDS)和入侵防御系統(tǒng)?(IPS)之間的主要區(qū)別在于IDS 是監(jiān)控系統(tǒng)，而 IPS 是控制系統(tǒng)。IDS 不會(huì)改變網(wǎng)絡(luò)流量，而 IPS 根據(jù)數(shù)據(jù)包的內(nèi)容阻止數(shù)據(jù)包傳遞，類似于防火墻通過 IP 地址阻止流量的方式。IDS 用于監(jiān)控網(wǎng)絡(luò)并在檢測(cè)到系統(tǒng)或網(wǎng)絡(luò)上的可疑??活動(dòng)時(shí)發(fā)送警報(bào)，同時(shí) IPS 對(duì)網(wǎng)絡(luò)攻擊做出 實(shí)時(shí)反應(yīng)，以 防止它們到達(dá)目標(biāo)系統(tǒng)和網(wǎng)絡(luò)。

簡(jiǎn)而言之，IDS 和 IPS 具有檢測(cè)攻擊特征的能力，主要區(qū)別在于它們對(duì)攻擊的響應(yīng)。但是，需要注意的是，IDS 和 IPS 都可以實(shí)現(xiàn)相同的監(jiān)控和檢測(cè)方法。在本文中，我們概述了入侵的特征、 網(wǎng)絡(luò)犯罪分子可以用來危害網(wǎng)絡(luò)安全的各種攻擊媒介、IDS/IPS 的定義，以及它們?nèi)绾伪Ｗo(hù)您的網(wǎng)絡(luò)和提高網(wǎng)絡(luò)安全。

什么是網(wǎng)絡(luò)入侵？

網(wǎng)絡(luò)入侵是計(jì)算機(jī)網(wǎng)絡(luò)上的任何未經(jīng)授權(quán)的活動(dòng)。檢測(cè)入侵取決于對(duì)網(wǎng)絡(luò)活動(dòng)和常見安全威脅有清晰的了解。適當(dāng)設(shè)計(jì)和部署的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)可以幫助阻止旨在竊取敏感數(shù)據(jù)、造成數(shù)據(jù)泄露和安裝惡意軟件的入侵者。網(wǎng)絡(luò)和端點(diǎn)可能容易受到來自世界任何地方的威脅參與者的入侵，這些參與者可能會(huì)利用您的攻擊面。

常見的網(wǎng)絡(luò)漏洞包括：

惡意軟件：惡意軟件或惡意軟件是對(duì)計(jì)算機(jī)用戶有害的任何程序或文件。 惡意軟件的類型 包括計(jì)算機(jī)病毒、 蠕蟲、特洛伊木馬、 間諜軟件、廣告軟件和勒索軟件。在此處閱讀我們關(guān)于惡意軟件的完整帖子。

數(shù)據(jù)存儲(chǔ)設(shè)備：USB和外部硬盤驅(qū)動(dòng)器等便攜式存儲(chǔ)設(shè)備可能會(huì)將惡意軟件引入您的網(wǎng)絡(luò)。

社會(huì)工程攻擊：社會(huì)工程是一種攻擊媒介，它利用人類心理和敏感性來操縱受害者泄露機(jī)密信息和敏感數(shù)據(jù)或執(zhí)行違反常規(guī)安全標(biāo)準(zhǔn)的操作。社會(huì)工程的常見示例包括 網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚和捕鯨攻擊。在此處閱讀我們關(guān)于社會(huì)工程的完整帖子。

過時(shí)或未打補(bǔ)丁的軟件和硬件：過時(shí)或未打補(bǔ)丁的軟件和硬件可能存在已知漏洞， 例如CVE 中列出的漏洞。漏洞是可以的弱點(diǎn)利用由網(wǎng)絡(luò)攻擊 ，以獲得未經(jīng)授權(quán)的訪問或在計(jì)算機(jī)系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的操作。諸如導(dǎo)致WannaCry勒索軟件的可蠕蟲漏洞風(fēng)險(xiǎn)特別高。閱讀我們關(guān)于漏洞的完整帖子以獲取更多信息。

什么是入侵防御系統(tǒng) (IPS)？

入侵防御系統(tǒng) (IPS) 或入侵檢測(cè)和防御系統(tǒng) (IDPS) 是網(wǎng)絡(luò)安全應(yīng)用程序，專注于識(shí)別可能的惡意活動(dòng)、記錄信息、報(bào)告嘗試并試圖阻止它們。IPS 系統(tǒng)通常直接位于防火墻后面。此外，IPS 解決方案可用于識(shí)別安全策略問題、記錄現(xiàn)有威脅并阻止個(gè)人違反安全策略。為了阻止攻擊，IPS 可以通過重新配置防火墻或更改攻擊內(nèi)容來改變安全環(huán)境。許多人將入侵防御系統(tǒng)視為入侵檢測(cè)系統(tǒng)的擴(kuò)展，因?yàn)樗鼈兌急O(jiān)視網(wǎng)絡(luò)流量和/或系統(tǒng)活動(dòng)以發(fā)現(xiàn)惡意活動(dòng)。

入侵防御系統(tǒng) (IPS) 如何工作？

入侵防御系統(tǒng) (IPS) 通過以下一種或多種檢測(cè)方法掃描所有網(wǎng)絡(luò)流量來工作：

基于簽名的檢測(cè)：基于簽名的 IPS 監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包，并與稱為簽名的預(yù)先配置和預(yù)先確定的攻擊模式進(jìn)行比較。

基于統(tǒng)計(jì)異常的檢測(cè)：基于異常 的 IPS 監(jiān)控網(wǎng)絡(luò)流量并將其與已建立的基線進(jìn)行比較。該基線用于識(shí)別網(wǎng)絡(luò)中的“正常”情況，例如使用了多少帶寬以及使用了哪些協(xié)議。雖然這種類型的異常檢測(cè)有助于識(shí)別新威脅，但當(dāng)帶寬的合法使用超過基線或基線配置不當(dāng)時(shí)，它也會(huì)產(chǎn)生誤報(bào)。

狀態(tài)協(xié)議分析檢測(cè)：該方法通過將觀察到的事件與普遍接受的良性活動(dòng)定義的預(yù)定配置文件進(jìn)行比較來識(shí)別協(xié)議狀態(tài)的偏差。

一旦檢測(cè)到，IPS 會(huì)對(duì)通過網(wǎng)絡(luò)傳輸?shù)拿總€(gè)數(shù)據(jù)包執(zhí)行實(shí)時(shí)數(shù)據(jù)包檢查，如果認(rèn)為可疑，IPS 將執(zhí)行以下操作之一：

• 終止已被利用的 TCP 會(huì)話
• 阻止有問題的 IP 地址或用戶帳戶訪問任何應(yīng)用程序、主機(jī)或網(wǎng)絡(luò)資源
• 重新編程或重新配置防火墻以防止以后發(fā)生類似的攻擊
• 通過重新打包有效負(fù)載、刪除標(biāo)頭信息或破壞受感染的文件來刪除或替換攻擊后殘留的惡意內(nèi)容

正確部署后，這允許 IPS 防止由惡意或不需要的數(shù)據(jù)包以及一系列其他網(wǎng)絡(luò)威脅造成的嚴(yán)重?fù)p害，包括：

• 分布式拒絕服務(wù) (DDOS)
• 漏洞利用
• 電腦蠕蟲
• 病毒
• 蠻力攻擊

什么是入侵檢測(cè)系統(tǒng) (IDS)？

入侵檢測(cè)系統(tǒng) (IDS) 是一種設(shè)備或軟件應(yīng)用程序，用于監(jiān)控網(wǎng)絡(luò)或系統(tǒng)是否存在惡意活動(dòng)和策略違規(guī)。任何惡意流量或違規(guī)行為通常都會(huì)報(bào)告給管理員或使用安全信息和事件管理 (SIEM)系統(tǒng)集中收集。

入侵檢測(cè)系統(tǒng) (IDS) 如何工作？

IDS 使用三種常見的檢測(cè)變體來監(jiān)控入侵：

基于簽名的檢測(cè)：通過查找特定模式來檢測(cè)攻擊，例如網(wǎng)絡(luò)流量中的字節(jié)序列或惡意軟件使用的簽名（已知的惡意指令序列）。該術(shù)語(yǔ)源自將這些模式稱為簽名的防病毒軟件。雖然基于簽名的 IDS 可以輕松檢測(cè)已知的網(wǎng)絡(luò)攻擊，但它們很難檢測(cè)到?jīng)]有可用模式的新攻擊。

基于信譽(yù)的檢測(cè)：根據(jù)信譽(yù)分?jǐn)?shù)識(shí)別潛在的網(wǎng)絡(luò)威脅。

基于異常的檢測(cè)：一種入侵檢測(cè)系統(tǒng)，用于通過監(jiān)控系統(tǒng)活動(dòng)并將其分類為正?；虍惓頇z測(cè)網(wǎng)絡(luò)和計(jì)算機(jī)的入侵和濫用。開發(fā)這種類型的安全系統(tǒng)是為了檢測(cè)未知攻擊，部分原因是惡意軟件的快速發(fā)展?；痉椒ㄊ鞘褂脵C(jī)器學(xué)習(xí)來創(chuàng)建可信賴活動(dòng)的模型，并將新行為與模型進(jìn)行比較。由于這些模型可以根據(jù)特定的應(yīng)用程序和硬件配置進(jìn)行訓(xùn)練，因此與傳統(tǒng)的基于簽名的 IDS 相比，它們具有更好的泛化特性。然而，他們也遭受更多的誤報(bào)。

入侵檢測(cè)系統(tǒng) (IDS) 有哪些不同類型？

IDS 系統(tǒng)的范圍可以從單臺(tái)計(jì)算機(jī)到大型網(wǎng)絡(luò)，通常分為兩種類型：

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (NIDS)：分析傳入網(wǎng)絡(luò)流量的系統(tǒng)。NIDS 放置在網(wǎng)絡(luò)中的戰(zhàn)略點(diǎn)，以監(jiān)控進(jìn)出設(shè)備的流量。它對(duì)整個(gè)子網(wǎng)上的傳遞流量進(jìn)行分析，并將子網(wǎng)上傳遞的流量與已知攻擊庫(kù)相匹配。當(dāng)識(shí)別出攻擊時(shí)，可以向管理員發(fā)送警報(bào)。

基于主機(jī)的入侵檢測(cè)系統(tǒng) (HIDS)：在單個(gè)主機(jī)或設(shè)備上運(yùn)行和監(jiān)控重要操作系統(tǒng)文件的系統(tǒng)。HIDS 監(jiān)控來自設(shè)備的入站和出站數(shù)據(jù)包，并在檢測(cè)到可疑活動(dòng)時(shí)向用戶或管理員發(fā)出警報(bào)。如果關(guān)鍵文件已被修改或刪除，它會(huì)拍攝現(xiàn)有系統(tǒng)文件的快照并將它們與以前的快照進(jìn)行匹配，從而引發(fā)警報(bào)。