入侵檢測系統(tǒng)?(IDS)和入侵防御系統(tǒng)?(IPS)之間的主要區(qū)別在于IDS 是監(jiān)控系統(tǒng)，而 IPS 是控制系統(tǒng)。IDS 不會改變網(wǎng)絡(luò)流量，而 IPS 根據(jù)數(shù)據(jù)包的內(nèi)容阻止數(shù)據(jù)包傳遞，類似于防火墻通過 IP 地址阻止流量的方式。IDS 用于監(jiān)控網(wǎng)絡(luò)并在檢測到系統(tǒng)或網(wǎng)絡(luò)上的可疑??活動時發(fā)送警報，同時 IPS 對網(wǎng)絡(luò)攻擊做出 實時反應(yīng)，以 防止它們到達目標系統(tǒng)和網(wǎng)絡(luò)。

簡而言之，IDS 和 IPS 具有檢測攻擊特征的能力，主要區(qū)別在于它們對攻擊的響應(yīng)。但是，需要注意的是，IDS 和 IPS 都可以實現(xiàn)相同的監(jiān)控和檢測方法。在本文中，我們概述了入侵的特征、 網(wǎng)絡(luò)犯罪分子可以用來危害網(wǎng)絡(luò)安全的各種攻擊媒介、IDS/IPS 的定義，以及它們?nèi)绾伪Ｗo您的網(wǎng)絡(luò)和提高網(wǎng)絡(luò)安全。

什么是網(wǎng)絡(luò)入侵？

網(wǎng)絡(luò)入侵是計算機網(wǎng)絡(luò)上的任何未經(jīng)授權(quán)的活動。檢測入侵取決于對網(wǎng)絡(luò)活動和常見安全威脅有清晰的了解。適當設(shè)計和部署的網(wǎng)絡(luò)入侵檢測系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)可以幫助阻止旨在竊取敏感數(shù)據(jù)、造成數(shù)據(jù)泄露和安裝惡意軟件的入侵者。網(wǎng)絡(luò)和端點可能容易受到來自世界任何地方的威脅參與者的入侵，這些參與者可能會利用您的攻擊面。

常見的網(wǎng)絡(luò)漏洞包括：

惡意軟件：惡意軟件或惡意軟件是對計算機用戶有害的任何程序或文件。 惡意軟件的類型 包括計算機病毒、 蠕蟲、特洛伊木馬、 間諜軟件、廣告軟件和勒索軟件。在此處閱讀我們關(guān)于惡意軟件的完整帖子。

數(shù)據(jù)存儲設(shè)備：USB和外部硬盤驅(qū)動器等便攜式存儲設(shè)備可能會將惡意軟件引入您的網(wǎng)絡(luò)。

社會工程攻擊：社會工程是一種攻擊媒介，它利用人類心理和敏感性來操縱受害者泄露機密信息和敏感數(shù)據(jù)或執(zhí)行違反常規(guī)安全標準的操作。社會工程的常見示例包括 網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚和捕鯨攻擊。在此處閱讀我們關(guān)于社會工程的完整帖子。

過時或未打補丁的軟件和硬件：過時或未打補丁的軟件和硬件可能存在已知漏洞， 例如CVE 中列出的漏洞。漏洞是可以的弱點利用由網(wǎng)絡(luò)攻擊 ，以獲得未經(jīng)授權(quán)的訪問或在計算機系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的操作。諸如導(dǎo)致WannaCry勒索軟件的可蠕蟲漏洞風(fēng)險特別高。閱讀我們關(guān)于漏洞的完整帖子以獲取更多信息。

什么是入侵防御系統(tǒng) (IPS)？

入侵防御系統(tǒng) (IPS) 或入侵檢測和防御系統(tǒng) (IDPS) 是網(wǎng)絡(luò)安全應(yīng)用程序，專注于識別可能的惡意活動、記錄信息、報告嘗試并試圖阻止它們。IPS 系統(tǒng)通常直接位于防火墻后面。此外，IPS 解決方案可用于識別安全策略問題、記錄現(xiàn)有威脅并阻止個人違反安全策略。為了阻止攻擊，IPS 可以通過重新配置防火墻或更改攻擊內(nèi)容來改變安全環(huán)境。許多人將入侵防御系統(tǒng)視為入侵檢測系統(tǒng)的擴展，因為它們都監(jiān)視網(wǎng)絡(luò)流量和/或系統(tǒng)活動以發(fā)現(xiàn)惡意活動。

入侵防御系統(tǒng) (IPS) 如何工作？

入侵防御系統(tǒng) (IPS) 通過以下一種或多種檢測方法掃描所有網(wǎng)絡(luò)流量來工作：

基于簽名的檢測：基于簽名的 IPS 監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包，并與稱為簽名的預(yù)先配置和預(yù)先確定的攻擊模式進行比較。

基于統(tǒng)計異常的檢測：基于異常 的 IPS 監(jiān)控網(wǎng)絡(luò)流量并將其與已建立的基線進行比較。該基線用于識別網(wǎng)絡(luò)中的“正常”情況，例如使用了多少帶寬以及使用了哪些協(xié)議。雖然這種類型的異常檢測有助于識別新威脅，但當帶寬的合法使用超過基線或基線配置不當時，它也會產(chǎn)生誤報。

狀態(tài)協(xié)議分析檢測：該方法通過將觀察到的事件與普遍接受的良性活動定義的預(yù)定配置文件進行比較來識別協(xié)議狀態(tài)的偏差。

一旦檢測到，IPS 會對通過網(wǎng)絡(luò)傳輸?shù)拿總€數(shù)據(jù)包執(zhí)行實時數(shù)據(jù)包檢查，如果認為可疑，IPS 將執(zhí)行以下操作之一：

• 終止已被利用的 TCP 會話
• 阻止有問題的 IP 地址或用戶帳戶訪問任何應(yīng)用程序、主機或網(wǎng)絡(luò)資源
• 重新編程或重新配置防火墻以防止以后發(fā)生類似的攻擊
• 通過重新打包有效負載、刪除標頭信息或破壞受感染的文件來刪除或替換攻擊后殘留的惡意內(nèi)容

正確部署后，這允許 IPS 防止由惡意或不需要的數(shù)據(jù)包以及一系列其他網(wǎng)絡(luò)威脅造成的嚴重損害，包括：

• 分布式拒絕服務(wù) (DDOS)
• 漏洞利用
• 電腦蠕蟲
• 病毒
• 蠻力攻擊

什么是入侵檢測系統(tǒng) (IDS)？

入侵檢測系統(tǒng) (IDS) 是一種設(shè)備或軟件應(yīng)用程序，用于監(jiān)控網(wǎng)絡(luò)或系統(tǒng)是否存在惡意活動和策略違規(guī)。任何惡意流量或違規(guī)行為通常都會報告給管理員或使用安全信息和事件管理 (SIEM)系統(tǒng)集中收集。

入侵檢測系統(tǒng) (IDS) 如何工作？

IDS 使用三種常見的檢測變體來監(jiān)控入侵：

基于簽名的檢測：通過查找特定模式來檢測攻擊，例如網(wǎng)絡(luò)流量中的字節(jié)序列或惡意軟件使用的簽名（已知的惡意指令序列）。該術(shù)語源自將這些模式稱為簽名的防病毒軟件。雖然基于簽名的 IDS 可以輕松檢測已知的網(wǎng)絡(luò)攻擊，但它們很難檢測到?jīng)]有可用模式的新攻擊。

基于信譽的檢測：根據(jù)信譽分數(shù)識別潛在的網(wǎng)絡(luò)威脅。

基于異常的檢測：一種入侵檢測系統(tǒng)，用于通過監(jiān)控系統(tǒng)活動并將其分類為正常或異常來檢測網(wǎng)絡(luò)和計算機的入侵和濫用。開發(fā)這種類型的安全系統(tǒng)是為了檢測未知攻擊，部分原因是惡意軟件的快速發(fā)展。基本方法是使用機器學(xué)習(xí)來創(chuàng)建可信賴活動的模型，并將新行為與模型進行比較。由于這些模型可以根據(jù)特定的應(yīng)用程序和硬件配置進行訓(xùn)練，因此與傳統(tǒng)的基于簽名的 IDS 相比，它們具有更好的泛化特性。然而，他們也遭受更多的誤報。

入侵檢測系統(tǒng) (IDS) 有哪些不同類型？

IDS 系統(tǒng)的范圍可以從單臺計算機到大型網(wǎng)絡(luò)，通常分為兩種類型：

網(wǎng)絡(luò)入侵檢測系統(tǒng) (NIDS)：分析傳入網(wǎng)絡(luò)流量的系統(tǒng)。NIDS 放置在網(wǎng)絡(luò)中的戰(zhàn)略點，以監(jiān)控進出設(shè)備的流量。它對整個子網(wǎng)上的傳遞流量進行分析，并將子網(wǎng)上傳遞的流量與已知攻擊庫相匹配。當識別出攻擊時，可以向管理員發(fā)送警報。

基于主機的入侵檢測系統(tǒng) (HIDS)：在單個主機或設(shè)備上運行和監(jiān)控重要操作系統(tǒng)文件的系統(tǒng)。HIDS 監(jiān)控來自設(shè)備的入站和出站數(shù)據(jù)包，并在檢測到可疑活動時向用戶或管理員發(fā)出警報。如果關(guān)鍵文件已被修改或刪除，它會拍攝現(xiàn)有系統(tǒng)文件的快照并將它們與以前的快照進行匹配，從而引發(fā)警報。