入侵检测系统 (IDS)和入侵防御系统 (IPS)之间的主要区别在于IDS 是监控系统,而 IPS 是控制系统。IDS 不会改变网络流量,而 IPS 根据数据包的内容阻止数据包传递,类似于防火墙通过 IP 地址阻止流量的方式。IDS 用于监控网络并在检测到系统或网络上的可疑活动时发送警报,同时 IPS 对网络攻击做出 实时反应,以 防止它们到达目标系统和网络。
简而言之,IDS 和 IPS 具有检测攻击特征的能力,主要区别在于它们对攻击的响应。但是,需要注意的是,IDS 和 IPS 都可以实现相同的监控和检测方法。在本文中,我们概述了入侵的特征、 网络犯罪分子可以用来危害网络安全的各种攻击媒介、IDS/IPS 的定义,以及它们如何保护您的网络和提高网络安全。
什么是网络入侵?
网络入侵是计算机网络上的任何未经授权的活动。检测入侵取决于对网络活动和常见安全威胁有清晰的了解。适当设计和部署的网络入侵检测系统和网络入侵防御系统可以帮助阻止旨在窃取敏感数据、造成数据泄露和安装恶意软件的入侵者。网络和端点可能容易受到来自世界任何地方的威胁参与者的入侵,这些参与者可能会利用您的攻击面。
常见的网络漏洞包括:
恶意软件:恶意软件或恶意软件是对计算机用户有害的任何程序或文件。 恶意软件的类型 包括计算机病毒、 蠕虫、特洛伊木马、 间谍软件、广告软件和勒索软件。在此处阅读我们关于恶意软件的完整帖子。
数据存储设备:USB和外部硬盘驱动器等便携式存储设备可能会将恶意软件引入您的网络。
社会工程攻击:社会工程是一种攻击媒介,它利用人类心理和敏感性来操纵受害者泄露机密信息和敏感数据或执行违反常规安全标准的操作。社会工程的常见示例包括 网络钓鱼、鱼叉式网络钓鱼和捕鲸攻击。在此处阅读我们关于社会工程的完整帖子。
过时或未打补丁的软件和硬件:过时或未打补丁的软件和硬件可能存在已知漏洞, 例如CVE 中列出的漏洞。漏洞是可以的弱点利用由网络攻击 ,以获得未经授权的访问或在计算机系统上执行未经授权的操作。诸如导致WannaCry勒索软件的可蠕虫漏洞风险特别高。阅读我们关于漏洞的完整帖子以获取更多信息。
什么是入侵防御系统 (IPS)?
入侵防御系统 (IPS) 或入侵检测和防御系统 (IDPS) 是网络安全应用程序,专注于识别可能的恶意活动、记录信息、报告尝试并试图阻止它们。IPS 系统通常直接位于防火墙后面。此外,IPS 解决方案可用于识别安全策略问题、记录现有威胁并阻止个人违反安全策略。为了阻止攻击,IPS 可以通过重新配置防火墙或更改攻击内容来改变安全环境。许多人将入侵防御系统视为入侵检测系统的扩展,因为它们都监视网络流量和/或系统活动以发现恶意活动。
入侵防御系统 (IPS) 如何工作?
入侵防御系统 (IPS) 通过以下一种或多种检测方法扫描所有网络流量来工作:
基于签名的检测:基于签名的 IPS 监控网络中的数据包,并与称为签名的预先配置和预先确定的攻击模式进行比较。
基于统计异常的检测:基于异常 的 IPS 监控网络流量并将其与已建立的基线进行比较。该基线用于识别网络中的“正常”情况,例如使用了多少带宽以及使用了哪些协议。虽然这种类型的异常检测有助于识别新威胁,但当带宽的合法使用超过基线或基线配置不当时,它也会产生误报。
状态协议分析检测:该方法通过将观察到的事件与普遍接受的良性活动定义的预定配置文件进行比较来识别协议状态的偏差。
一旦检测到,IPS 会对通过网络传输的每个数据包执行实时数据包检查,如果认为可疑,IPS 将执行以下操作之一:
- 终止已被利用的 TCP 会话
- 阻止有问题的 IP 地址或用户帐户访问任何应用程序、主机或网络资源
- 重新编程或重新配置防火墙以防止以后发生类似的攻击
- 通过重新打包有效负载、删除标头信息或破坏受感染的文件来删除或替换攻击后残留的恶意内容
正确部署后,这允许 IPS 防止由恶意或不需要的数据包以及一系列其他网络威胁造成的严重损害,包括:
- 分布式拒绝服务 (DDOS)
- 漏洞利用
- 电脑蠕虫
- 病毒
- 蛮力攻击
什么是入侵检测系统 (IDS)?
入侵检测系统 (IDS) 是一种设备或软件应用程序,用于监控网络或系统是否存在恶意活动和策略违规。任何恶意流量或违规行为通常都会报告给管理员或使用安全信息和事件管理 (SIEM)系统集中收集。
入侵检测系统 (IDS) 如何工作?
IDS 使用三种常见的检测变体来监控入侵:
基于签名的检测:通过查找特定模式来检测攻击,例如网络流量中的字节序列或恶意软件使用的签名(已知的恶意指令序列)。该术语源自将这些模式称为签名的防病毒软件。虽然基于签名的 IDS 可以轻松检测已知的网络攻击,但它们很难检测到没有可用模式的新攻击。
基于信誉的检测:根据信誉分数识别潜在的网络威胁。
基于异常的检测:一种入侵检测系统,用于通过监控系统活动并将其分类为正常或异常来检测网络和计算机的入侵和滥用。开发这种类型的安全系统是为了检测未知攻击,部分原因是恶意软件的快速发展。基本方法是使用机器学习来创建可信赖活动的模型,并将新行为与模型进行比较。由于这些模型可以根据特定的应用程序和硬件配置进行训练,因此与传统的基于签名的 IDS 相比,它们具有更好的泛化特性。然而,他们也遭受更多的误报。
入侵检测系统 (IDS) 有哪些不同类型?
IDS 系统的范围可以从单台计算机到大型网络,通常分为两种类型:
网络入侵检测系统 (NIDS):分析传入网络流量的系统。NIDS 放置在网络中的战略点,以监控进出设备的流量。它对整个子网上的传递流量进行分析,并将子网上传递的流量与已知攻击库相匹配。当识别出攻击时,可以向管理员发送警报。
基于主机的入侵检测系统 (HIDS):在单个主机或设备上运行和监控重要操作系统文件的系统。HIDS 监控来自设备的入站和出站数据包,并在检测到可疑活动时向用户或管理员发出警报。如果关键文件已被修改或删除,它会拍摄现有系统文件的快照并将它们与以前的快照进行匹配,从而引发警报。