入侵检测/入侵防御概念明晰

@踏雪寻梅

已于 2024-12-19 09:42:03 修改

阅读量612

点赞数 17

分类专栏：网络安全文章标签：网络安全

于 2024-12-19 09:39:27 首次发布

本文链接：https://blog.youkuaiyun.com/weixin_47578637/article/details/144575986

版权

网络安全专栏收录该内容

21 篇文章

订阅专栏

1.入侵检测系统（IDS - Intrusion Detection System）

1.1 定义：

入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它主要用于检测网络中的入侵行为，包括恶意攻击、滥用权限等异常活动。

1.2 工作原理：

1.2.1基于特征检测：

IDS 系统中有一个已知攻击特征的数据库。它会将网络中的流量数据与这个数据库中的特征进行比对。例如，如果有一个针对 Web 服务器的 SQL 注入攻击特征存储在数据库中，当网络流量中出现符合这个 SQL 注入攻击特征的数据包序列时，IDS 就会检测到这种入侵行为。这些特征通常是由安全专家根据以往的攻击模式总结出来的，包括特定的数据包内容、端口号、协议等信息。

1.2.2 异常检测：

除了基于特征的检测，IDS 还可以通过建立正常网络行为的模型来工作。它会学习网络在正常状态下的各种参数，如流量大小、数据包流向、用户访问模式等。当网络行为偏离这个正常模型时，即使没有匹配到已知的攻击特征，IDS 也会认为可能发生了入侵行为。例如，一个用户通常在工作时间访问公司内部的业务系统，突然在深夜进行大量的数据下载操作，这种异常行为可能会被 IDS 检测到。

1.3 部署方式：

1.3.1 网络型 IDS（NIDS - Network - based IDS）：

这种 IDS 部署在网络中的关键位置，如防火墙后面或者网络交换机旁边，通过监听网络中的所有流量来检测入侵行为。它就像一个网络中的监视器，对经过的所有数据包进行检查。例如，在企业的园区网络中，将 NIDS 部署在连接各个部门的核心交换机上，可以有效地检测来自不同部门网络的入侵行为。

1.3.2 主机型 IDS（HIDS - Host - based IDS）：

HIDS 安装在单个主机（如服务器、工作站等）上，主要关注主机自身的系统资源和活动，如文件系统变化、进程活动、用户登录行为等。例如，在一台重要的数据库服务器上安装 HIDS，可以监测是否有非法进程试图访问数据库文件，或者是否有异常的用户登录尝试，从而保护主机的安全。

1.4 输出结果：

当 IDS 检测到可能的入侵行为时，它会产生报警信息。这些报警信息可以发送给网络管理员，通过邮件、短信或者系统控制台等方式通知管理员。报警内容通常包括检测到的入侵类型、可能的攻击源、攻击时间等详细信息，以便管理员采取进一步的措施进行调查和应对。

2.入侵防御系统（IPS - Intrusion Prevention System）

2.1 定义：

入侵防御系统是一种智能化的网络安全设备，它不但能检测入侵行为的发生，而且能通过一定的响应方式，实时地终止入侵行为的进行，主动地保护网络的安全。与 IDS 相比，IPS 更具主动性，它不仅仅是发现问题，还能解决问题。

2.2工作原理：

2.2.1 Inline 模式工作：

IPS 通常工作在网络流量的路径上，采用 Inline（串联）模式。这意味着网络流量必须经过 IPS 设备，它可以在检测到入侵行为的同时直接对流量进行阻断或者修改。例如，当检测到一个针对网络服务器的 DDoS 攻击时，IPS 可以立即阻止来自攻击源的流量进入服务器，而不是仅仅发出警报。

2.2.2 深度包检测（DPI - Deep Packet Inspection）：

IPS 会对数据包进行深度分析，不仅仅是查看数据包的头部信息，还会检查数据包的内容。对于应用层协议的数据包，如 HTTP、SMTP 等，IPS 可以解析其中的内容，检查是否存在恶意代码、非法命令等。例如，在检查一个 HTTP 请求数据包时，IPS 可以检测其中是否包含恶意的 SQL 注入语句或者跨站脚本攻击（XSS）代码。