入侵檢測系統?(IDS)和入侵防御系統?(IPS)之間的主要區別在于IDS 是監控系統，而 IPS 是控制系統。IDS 不會(huì )改變網(wǎng)絡(luò )流量，而 IPS 根據數據包的內容阻止數據包傳遞，類(lèi)似于防火墻通過(guò) IP 地址阻止流量的方式。IDS 用于監控網(wǎng)絡(luò )并在檢測到系統或網(wǎng)絡(luò )上的可疑??活動(dòng)時(shí)發(fā)送警報，同時(shí) IPS 對網(wǎng)絡(luò )攻擊做出 實(shí)時(shí)反應，以 防止它們到達目標系統和網(wǎng)絡(luò )。

簡(jiǎn)而言之，IDS 和 IPS 具有檢測攻擊特征的能力，主要區別在于它們對攻擊的響應。但是，需要注意的是，IDS 和 IPS 都可以實(shí)現相同的監控和檢測方法。在本文中，我們概述了入侵的特征、 網(wǎng)絡(luò )犯罪分子可以用來(lái)危害網(wǎng)絡(luò )安全的各種攻擊媒介、IDS/IPS 的定義，以及它們如何保護您的網(wǎng)絡(luò )和提高網(wǎng)絡(luò )安全。

什么是網(wǎng)絡(luò )入侵？

網(wǎng)絡(luò )入侵是計算機網(wǎng)絡(luò )上的任何未經(jīng)授權的活動(dòng)。檢測入侵取決于對網(wǎng)絡(luò )活動(dòng)和常見(jiàn)安全威脅有清晰的了解。適當設計和部署的網(wǎng)絡(luò )入侵檢測系統和網(wǎng)絡(luò )入侵防御系統可以幫助阻止旨在竊取敏感數據、造成數據泄露和安裝惡意軟件的入侵者。網(wǎng)絡(luò )和端點(diǎn)可能容易受到來(lái)自世界任何地方的威脅參與者的入侵，這些參與者可能會(huì )利用您的攻擊面。

常見(jiàn)的網(wǎng)絡(luò )漏洞包括：

惡意軟件：惡意軟件或惡意軟件是對計算機用戶(hù)有害的任何程序或文件。 惡意軟件的類(lèi)型 包括計算機病毒、 蠕蟲(chóng)、特洛伊木馬、 間諜軟件、廣告軟件和勒索軟件。在此處閱讀我們關(guān)于惡意軟件的完整帖子。

數據存儲設備：USB和外部硬盤(pán)驅動(dòng)器等便攜式存儲設備可能會(huì )將惡意軟件引入您的網(wǎng)絡(luò )。

社會(huì )工程攻擊：社會(huì )工程是一種攻擊媒介，它利用人類(lèi)心理和敏感性來(lái)操縱受害者泄露機密信息和敏感數據或執行違反常規安全標準的操作。社會(huì )工程的常見(jiàn)示例包括 網(wǎng)絡(luò )釣魚(yú)、魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)和捕鯨攻擊。在此處閱讀我們關(guān)于社會(huì )工程的完整帖子。

過(guò)時(shí)或未打補丁的軟件和硬件：過(guò)時(shí)或未打補丁的軟件和硬件可能存在已知漏洞， 例如CVE 中列出的漏洞。漏洞是可以的弱點(diǎn)利用由網(wǎng)絡(luò )攻擊 ，以獲得未經(jīng)授權的訪(fǎng)問(wèn)或在計算機系統上執行未經(jīng)授權的操作。諸如導致WannaCry勒索軟件的可蠕蟲(chóng)漏洞風(fēng)險特別高。閱讀我們關(guān)于漏洞的完整帖子以獲取更多信息。

什么是入侵防御系統 (IPS)？

入侵防御系統 (IPS) 或入侵檢測和防御系統 (IDPS) 是網(wǎng)絡(luò )安全應用程序，專(zhuān)注于識別可能的惡意活動(dòng)、記錄信息、報告嘗試并試圖阻止它們。IPS 系統通常直接位于防火墻后面。此外，IPS 解決方案可用于識別安全策略問(wèn)題、記錄現有威脅并阻止個(gè)人違反安全策略。為了阻止攻擊，IPS 可以通過(guò)重新配置防火墻或更改攻擊內容來(lái)改變安全環(huán)境。許多人將入侵防御系統視為入侵檢測系統的擴展，因為它們都監視網(wǎng)絡(luò )流量和/或系統活動(dòng)以發(fā)現惡意活動(dòng)。

入侵防御系統 (IPS) 如何工作？

入侵防御系統 (IPS) 通過(guò)以下一種或多種檢測方法掃描所有網(wǎng)絡(luò )流量來(lái)工作：

基于簽名的檢測：基于簽名的 IPS 監控網(wǎng)絡(luò )中的數據包，并與稱(chēng)為簽名的預先配置和預先確定的攻擊模式進(jìn)行比較。

基于統計異常的檢測：基于異常 的 IPS 監控網(wǎng)絡(luò )流量并將其與已建立的基線(xiàn)進(jìn)行比較。該基線(xiàn)用于識別網(wǎng)絡(luò )中的“正?！鼻闆r，例如使用了多少帶寬以及使用了哪些協(xié)議。雖然這種類(lèi)型的異常檢測有助于識別新威脅，但當帶寬的合法使用超過(guò)基線(xiàn)或基線(xiàn)配置不當時(shí)，它也會(huì )產(chǎn)生誤報。

狀態(tài)協(xié)議分析檢測：該方法通過(guò)將觀(guān)察到的事件與普遍接受的良性活動(dòng)定義的預定配置文件進(jìn)行比較來(lái)識別協(xié)議狀態(tài)的偏差。

一旦檢測到，IPS 會(huì )對通過(guò)網(wǎng)絡(luò )傳輸的每個(gè)數據包執行實(shí)時(shí)數據包檢查，如果認為可疑，IPS 將執行以下操作之一：

• 終止已被利用的 TCP 會(huì )話(huà)
• 阻止有問(wèn)題的 IP 地址或用戶(hù)帳戶(hù)訪(fǎng)問(wèn)任何應用程序、主機或網(wǎng)絡(luò )資源
• 重新編程或重新配置防火墻以防止以后發(fā)生類(lèi)似的攻擊
• 通過(guò)重新打包有效負載、刪除標頭信息或破壞受感染的文件來(lái)刪除或替換攻擊后殘留的惡意內容

正確部署后，這允許 IPS 防止由惡意或不需要的數據包以及一系列其他網(wǎng)絡(luò )威脅造成的嚴重損害，包括：

• 分布式拒絕服務(wù) (DDOS)
• 漏洞利用
• 電腦蠕蟲(chóng)
• 病毒
• 蠻力攻擊

什么是入侵檢測系統 (IDS)？

入侵檢測系統 (IDS) 是一種設備或軟件應用程序，用于監控網(wǎng)絡(luò )或系統是否存在惡意活動(dòng)和策略違規。任何惡意流量或違規行為通常都會(huì )報告給管理員或使用安全信息和事件管理 (SIEM)系統集中收集。

入侵檢測系統 (IDS) 如何工作？

IDS 使用三種常見(jiàn)的檢測變體來(lái)監控入侵：

基于簽名的檢測：通過(guò)查找特定模式來(lái)檢測攻擊，例如網(wǎng)絡(luò )流量中的字節序列或惡意軟件使用的簽名（已知的惡意指令序列）。該術(shù)語(yǔ)源自將這些模式稱(chēng)為簽名的防病毒軟件。雖然基于簽名的 IDS 可以輕松檢測已知的網(wǎng)絡(luò )攻擊，但它們很難檢測到?jīng)]有可用模式的新攻擊。

基于信譽(yù)的檢測：根據信譽(yù)分數識別潛在的網(wǎng)絡(luò )威脅。

基于異常的檢測：一種入侵檢測系統，用于通過(guò)監控系統活動(dòng)并將其分類(lèi)為正?；虍惓?lái)檢測網(wǎng)絡(luò )和計算機的入侵和濫用。開(kāi)發(fā)這種類(lèi)型的安全系統是為了檢測未知攻擊，部分原因是惡意軟件的快速發(fā)展?；痉椒ㄊ鞘褂脵C器學(xué)習來(lái)創(chuàng )建可信賴(lài)活動(dòng)的模型，并將新行為與模型進(jìn)行比較。由于這些模型可以根據特定的應用程序和硬件配置進(jìn)行訓練，因此與傳統的基于簽名的 IDS 相比，它們具有更好的泛化特性。然而，他們也遭受更多的誤報。

入侵檢測系統 (IDS) 有哪些不同類(lèi)型？

IDS 系統的范圍可以從單臺計算機到大型網(wǎng)絡(luò )，通常分為兩種類(lèi)型：

網(wǎng)絡(luò )入侵檢測系統 (NIDS)：分析傳入網(wǎng)絡(luò )流量的系統。NIDS 放置在網(wǎng)絡(luò )中的戰略點(diǎn)，以監控進(jìn)出設備的流量。它對整個(gè)子網(wǎng)上的傳遞流量進(jìn)行分析，并將子網(wǎng)上傳遞的流量與已知攻擊庫相匹配。當識別出攻擊時(shí)，可以向管理員發(fā)送警報。

基于主機的入侵檢測系統 (HIDS)：在單個(gè)主機或設備上運行和監控重要操作系統文件的系統。HIDS 監控來(lái)自設備的入站和出站數據包，并在檢測到可疑活動(dòng)時(shí)向用戶(hù)或管理員發(fā)出警報。如果關(guān)鍵文件已被修改或刪除，它會(huì )拍攝現有系統文件的快照并將它們與以前的快照進(jìn)行匹配，從而引發(fā)警報。