IDS （入侵檢測系統(tǒng)）

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統(tǒng)資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內部人員有越界行為，實時監(jiān)視系統(tǒng)會發(fā)現(xiàn)情況并發(fā)出警告。

HIDS和NIDS有什么區(qū)別

所謂入侵檢測（Intrusion Detection），就是通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為或遭到襲擊的跡象，并對此做出適當反應的流程。
而入侵檢測系統(tǒng)（Intrusion Detection System，IDS）則是實現(xiàn)這些功能的系統(tǒng)。IDS應該包含收集信息、分析信息、給出結論、做出反應四個流程。
HIDS和NIDS的區(qū)別如下：
1. HIDS（Host-based Intrusion Detection System，基于主機的入侵檢測系統(tǒng)）
① HIDS將代理安裝在受保護的系統(tǒng)中，它要求與操作系統(tǒng)內核和服務緊密捆綁在一起，監(jiān)控各種系統(tǒng)事件，如對內核或API的調用，以此來進行防御。
② HIDS還可以監(jiān)測特定的系統(tǒng)文件和可執(zhí)行文件調用，以及Windows NT下的安全記錄和Unix環(huán)境下的系統(tǒng)記錄。
③ HIDS能對檢測的入侵行為、事件給予積極的反應，比如斷開連接、封掉用戶賬號、殺死進程、提交警報等。
④ HIDS技能要求非常高，要求開發(fā)HIDS的企業(yè)對有關的操作系統(tǒng)非常了解，而且安裝在主機上的代理必須非常可靠，系統(tǒng)占用小，自身安全性要好，否則將會對系統(tǒng)產生負面影響。
⑤ HIDS關注的是到達主機的各種安全威脅，并不關注網絡的安全。
⑥ HIDS由于采取的是對事件和系統(tǒng)調用的監(jiān)控，衡量它的技術指標非常少。

2. NIDS（Network Intrusion Detection System，網絡入侵檢測系統(tǒng)）
① NIDS最大的特點在于不需要改變服務器等主機的配置，它不需在業(yè)務系統(tǒng)的主機中安裝額外的軟件。
② NIDS不是系統(tǒng)中的關鍵路徑，即使發(fā)生故障也不會影響正常業(yè)務的運行。
③ NIDS是以網絡包作為分析數(shù)據源。它通常運用一個工作在混雜模式下的網卡來實時監(jiān)視并分析通過網絡的數(shù)據流。
④ NIDS的分析模塊通常運用模式匹配、統(tǒng)計分析等技能來識別攻擊行為，一旦檢測到了攻擊行為，NIDS的響應模塊就作出適當?shù)捻憫?#xff0c;比如報警、切斷有關用戶的網絡連接等。
⑤ NIDS收集的是網絡中的動態(tài)流量信息，因此，攻擊特征庫數(shù)目多少以及數(shù)據處理能力，就決定了NIDS識別入侵行為的能力。
⑥ 部署一個NIDS，比HIDS的風險與成本相對較低。
⑦ NIDS采取的基本上都是模式匹配的形式，所以衡量NIDS的技術指標可以數(shù)量化。
⑧ 在NIDS的應用過程中，最大的敵人就是誤警和漏警。漏警不影響應用環(huán)境的可用性，只是用戶的投資失誤；而誤警則有可能導致警報異常、網絡紊亂，甚至應用的癱瘓。

?

IPS （入侵防御系統(tǒng)）

入侵防御系統(tǒng)(IPS: Intrusion Prevention System)是電腦網絡安全設施，是對防病毒軟件（Antivirus Programs）和防火墻(Packet Filter, Application Gateway)的補充。 入侵防御系統(tǒng)(Intrusion-prevention system)是一部能夠監(jiān)視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

侵入保護（阻止）系統(tǒng)（IPS）是新一代的侵入檢測系統(tǒng)（IDS），可彌補IDS存在于前攝及假陽性/陰性等性質方面的弱點。IPS能夠識別事件的侵入、關聯(lián)、沖擊、方向和適當?shù)姆治?#xff0c;然后將合適的信息和命令傳送給防火墻、交換機和其它的網絡設備以減輕該事件的風險。

IPS系統(tǒng)分為基于主機和網絡兩種類型

保障深層防御情況下的精確阻斷，即在確保精確阻斷的基礎上，盡量多地發(fā)現(xiàn)攻擊行為（如SQL注入攻擊、緩沖區(qū)溢出攻擊、惡意代碼攻擊、后門、木馬、間諜軟件），這才是IPS發(fā)展的主線功能。

常用的攻擊檢測方法有兩種，一種方法是通過定義攻擊行為的數(shù)據特征來實現(xiàn)對已知攻擊的檢測，其優(yōu)勢是技術上實現(xiàn)簡單、易于擴充、可迅速實現(xiàn)對特定新攻擊的檢測和攔截；但僅能識別已知攻擊、抗變種能力弱。另一種方法是通過分析攻擊產生原理，定義攻擊類型的統(tǒng)一特征，能準確識別基于相同原理的各種攻擊、不受攻擊變種的影響，但技術門檻高、擴充復雜、應對新攻擊速度有限。

總結

以上是生活随笔為你收集整理的IDS与IPS的区别（HIDS、NIDS）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。