???IDS是英文“Intrusion Detection Systems”的縮寫(xiě)，中文意思是“***檢測(cè)系統(tǒng)”。專(zhuān)業(yè)上講就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種***企圖、***行為或者***結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

　　我們做一個(gè)形象的比喻：假如防火墻是一幢大樓的門(mén)鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

　　不同于防火墻，IDS***檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，沒(méi)有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?#xff0c;已經(jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：

　　（1）盡可能靠近***源

　　（2）盡可能靠近受保護(hù)資源

　　這些位置通常是：

　　·服務(wù)器區(qū)域的交換機(jī)上

　　·Internet接入路由器之后的第一臺(tái)交換機(jī)上

　　·重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上

　　防火墻和IDS可以分開(kāi)操作，IDS是個(gè)監(jiān)控系統(tǒng)，可以自行選擇合適的，或是符合需求的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設(shè)置及規(guī)則，或是重新設(shè)置！

　　◎早期的IDS僅僅是一個(gè)監(jiān)聽(tīng)系統(tǒng)，在這里，你可以把監(jiān)聽(tīng)理解成竊聽(tīng)的意思。基于目前局網(wǎng)的工作方式，IDS可以將用戶對(duì)位于與IDS同一交換機(jī)/HuB的服務(wù)器的訪問(wèn)、操作全部記錄下來(lái)以供分析使用，跟我們常用的windows操作系統(tǒng)的事件查看器類(lèi)似。再后來(lái)，由于IDS的記錄太多了，所以新一代的IDS提供了將記錄的數(shù)據(jù)進(jìn)行分析，僅僅列出有危險(xiǎn)的一部分記錄，這一點(diǎn)上跟目前windows所用的策略審核上很象；目前新一代的IDS，更是增加了分析應(yīng)用層數(shù)據(jù)的功能，使得其能力大大增加；而更新一代的IDS，就頗有“路見(jiàn)不平，拔刀相助”的味道了，配合上防火墻進(jìn)行聯(lián)動(dòng)，將IDS分析出有敵意的地址阻止其訪問(wèn)。

　　就如理論與實(shí)際的區(qū)別一樣，IDS雖然具有上面所說(shuō)的眾多特性，但在實(shí)際的使用中，目前大多數(shù)的***檢測(cè)的接入方式都是采用pass-by方式來(lái)偵聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù)流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數(shù)據(jù)包來(lái)阻斷當(dāng)前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎(chǔ)之上的一些行為，如Telnet、FTP、HTTP等，而對(duì)于一些建立在UDP基礎(chǔ)之上就無(wú)能為力了。因?yàn)榉阑饓Φ牟呗远际鞘孪仍O(shè)置好的，無(wú)法動(dòng)態(tài)設(shè)置策略，缺少針對(duì)***的必要的靈活性，不能更好的保護(hù)網(wǎng)絡(luò)的安全，所以IDS與防火墻聯(lián)動(dòng)的目的就是更有效地阻斷所發(fā)生的***事件，從而使網(wǎng)絡(luò)隱患降至較低限度。

二： Intrusion Prevention System , ***防御系統(tǒng)

　　 ***預(yù)防系統(tǒng)(IPS: Intrusion Prevention System)是電腦網(wǎng)路安全設(shè)施，是對(duì)防病毒軟體（Antivirus Programs）和防火墻(Packet Filter, Application Gateway)的補(bǔ)充。 ***預(yù)防系統(tǒng)(Intrusion-prevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害信得網(wǎng)絡(luò)資料傳輸行為。

　　網(wǎng)路安全

　　隨著電腦的廣泛應(yīng)用和網(wǎng)路的不斷普及，來(lái)自網(wǎng)路內(nèi)部和外部的危險(xiǎn)和犯罪也日益增多。20年前，電腦病毒(電腦病毒)主要通過(guò)軟盤(pán)傳播。后來(lái)，用戶打開(kāi)帶有病毒的電子信函附件，就可以觸發(fā)附件所帶的病毒。以前，病毒的擴(kuò)散比較慢，防毒軟體的開(kāi)發(fā)商有足夠的時(shí)間從容研究病毒，開(kāi)發(fā)防病毒、殺病毒軟體。而今天，不僅病毒數(shù)量劇增，質(zhì)量提高，而且通過(guò)網(wǎng)路快速傳播，在短短的幾小時(shí)內(nèi)就能傳遍全世界。有的病毒還會(huì)在傳播過(guò)程中改變形態(tài)，使防毒軟體失效。

　　目前流行的***程序和有害代碼如 DoS （Denial of Service)，DDoS (Distributed DoS)，暴力猜解(Brut-Force-Attack)，埠掃描(Portscan)，嗅探，病毒，蠕蟲(chóng)，垃圾郵件，***等等。此外還有利用軟體的漏洞和缺陷鉆空子、干壞事，讓人防不勝防。

　　網(wǎng)路***方式越來(lái)越多，有的充分利用防火墻放行許可，有的則使防毒軟體失效。比如，在病毒剛進(jìn)入網(wǎng)路的時(shí)候，還沒(méi)有一個(gè)廠家迅速開(kāi)發(fā)出相應(yīng)的辨認(rèn)和撲滅程序，于是這種全新的病毒就很快大肆擴(kuò)散、肆虐于網(wǎng)路、危害單機(jī)或網(wǎng)路資源，這就是所謂Zero Day Attack。

　　防火墻可以根據(jù)英特網(wǎng)地址（IP-Addresses）或服務(wù)埠（Ports）過(guò)濾數(shù)據(jù)包。但是，它對(duì)于利用合法網(wǎng)址和埠而從事的破壞活動(dòng)則無(wú)能為力。因?yàn)?防火墻極少深入數(shù)據(jù)包檢查內(nèi)容。

　　每種***代碼都具有只屬于它自己的特征 (signature), 病毒之間通過(guò)各自不同的特征互相區(qū)別，同時(shí)也與正常的應(yīng)用程序代碼相區(qū)別。除病毒軟體就是通過(guò)儲(chǔ)存所有已知的病毒特征來(lái)辨認(rèn)病毒的。

　　在ISO/OSI網(wǎng)路層次模型(見(jiàn)OSI模型) 中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟體主要在第五到第七層起作用。為了彌補(bǔ)防火墻和除病毒軟體二者在第四到第五層之間留下的空檔，幾年前，工業(yè)界已經(jīng)有***偵查系統(tǒng)(IDS: Intrusion Detection System）投入使用。***偵查系統(tǒng)在發(fā)現(xiàn)異常情況后及時(shí)向網(wǎng)路安全管理人員或防火墻系統(tǒng)發(fā)出警報(bào)。可惜這時(shí)災(zāi)害往往已經(jīng)形成。雖然，亡羊補(bǔ)牢，尤未為晚，但是，防衛(wèi)機(jī)制最好應(yīng)該是在危害形成之前先期起作用。隨后應(yīng)運(yùn)而生的***反應(yīng)系統(tǒng)(IRS: Intrusion Response Systems) 作為對(duì)***偵查系統(tǒng)的補(bǔ)充能夠在發(fā)現(xiàn)***時(shí)，迅速作出反應(yīng)，并自動(dòng)采取阻止措施。而***預(yù)防系統(tǒng)則作為二者的進(jìn)一步發(fā)展，汲取了二者的長(zhǎng)處。

　　***預(yù)防系統(tǒng)也像***偵查系統(tǒng)一樣，專(zhuān)門(mén)深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認(rèn)識(shí)的***代碼特征，過(guò)濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。除此之外，更重要的是，大多數(shù)***預(yù)防系統(tǒng)同時(shí)結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸重的異常情況，來(lái)輔助識(shí)別***和***。比如，用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時(shí)段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序弱點(diǎn)的空子正在被利用等等現(xiàn)象。***預(yù)防系統(tǒng)雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。

　　應(yīng)用***預(yù)防系統(tǒng)的目的在于及時(shí)識(shí)別***程序或有害代碼及其克隆和變種，采取預(yù)防措施，先期阻止***，防患于未然。或者至少使其危害性充分降低。***預(yù)防系統(tǒng)一般作為防火墻 和防病毒軟體的補(bǔ)充來(lái)投入使用。在必要時(shí)，它還可以為追究***者的刑事責(zé)任而提供法律上有效的證據(jù) (forensic)。

　　***預(yù)防技術(shù)

　　* 異常偵查。正如***偵查系統(tǒng), ***預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子，可以對(duì)照識(shí)別異常。

　　* 在遇到動(dòng)態(tài)代碼(ActiveX, JavaApplet,各種指令語(yǔ)言script languages等等)時(shí)，先把它們放在沙盤(pán)內(nèi)，觀察其行為動(dòng)向，如果發(fā)現(xiàn)有可疑情況，則停止傳輸，禁止執(zhí)行。

　　* 有些***預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對(duì)通過(guò)網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)路內(nèi)部的有害代碼實(shí)行有效阻止。

　　* 核心基礎(chǔ)上的防護(hù)機(jī)制。用戶程序通過(guò)系統(tǒng)指令享用資源 (如存儲(chǔ)區(qū)、輸入輸出設(shè)備、中央處理器等)。***預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)請(qǐng)求。

　　* 對(duì)Library、Registry、重要文件和重要的文件夾進(jìn)行防守和保護(hù)。

　　***預(yù)防系統(tǒng)類(lèi)型

　　投入使用的***預(yù)防系統(tǒng)按其用途進(jìn)一步可以劃分為單機(jī)***預(yù)防系統(tǒng)

　　(HIPS: Hostbased Intrusion Prevension System)和網(wǎng)路***預(yù)防系統(tǒng)

　　(NIPS: Network Intrusion Prevension System）兩種類(lèi)型。

　　網(wǎng)路***預(yù)防系統(tǒng)作為網(wǎng)路之間或網(wǎng)路組成部分之間的獨(dú)立的硬體設(shè)備，切斷交通，對(duì)過(guò)往包裹進(jìn)行深層檢查，然后確定是否放行。網(wǎng)路***預(yù)防系統(tǒng)藉助病毒特征和協(xié)議異常，阻止有害代碼傳播。有一些網(wǎng)路***預(yù)防系統(tǒng)還能夠跟蹤和標(biāo)記對(duì)可疑代碼的回答，然后，看誰(shuí)使用這些回答信息而請(qǐng)求連接，這樣就能更好地確認(rèn)發(fā)生了***事件。

??????根據(jù)有害代碼通常潛伏于正常程序代碼中間、伺機(jī)運(yùn)行的特點(diǎn)，單機(jī)***預(yù)防系統(tǒng)監(jiān)視正常程序，比如Internet Explorer，Outlook，等等，在它們（確切地說(shuō)，其實(shí)是它們所夾帶的有害代碼）向作業(yè)系統(tǒng)發(fā)出請(qǐng)求指令，改寫(xiě)系統(tǒng)文件，建立對(duì)外連接時(shí)，進(jìn)行有效阻止，從而保護(hù)網(wǎng)路中重要的單個(gè)機(jī)器設(shè)備，如伺服器、路由器、防火墻等等。這時(shí)，它不需要求助于已知病毒特征和事先設(shè)定的安全規(guī)則。總地來(lái)說(shuō)，單機(jī)***預(yù)防系統(tǒng)能使大部分鉆空子行為無(wú)法得逞。我們知道，***是指有害代碼首先到達(dá)目的地，然后干壞事。然而，即使它僥幸突破防火墻等各種防線，得以到達(dá)目的地，但是由于有了***預(yù)防系統(tǒng)，有害代碼最終還是無(wú)法起到它要起的作用，不能達(dá)到它要達(dá)到的目的。

轉(zhuǎn)載于:https://blog.51cto.com/alkshao/508181

總結(jié)

以上是生活随笔為你收集整理的IDS与IPS的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。