014 入侵检测/防御【产品】

IPS（Intrusion Preventio System）入侵防御系统

IDS（Intrusion Detection System）入侵检测系统

1 产品概述

1.1 入侵检测系统

IDS对异常的，可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时流量情况，侧重于风险告警。

检测方法：

a. 使用签名：厂商可以提供2000多种签名，IDS可以使用这些签名对网络流量进行模式匹配。当一个新的数据包进入网络之后，它可以根据数据库中的签名数据来分析其相似度，如果检测到了匹配发生，则会发出警报。

b. 搜索异常：即为用户的使用操作设定一条基准线。比如说，如果三十个人同时打开了一个连接（考虑连接数x5），那么如果一个非正常的请求同时建立了30x5=150条连接，则会发出警报。

c. 协议异常：即检测基于协议的异常信息。例如系统所使用的协议为HTTP，但系统检测到了某些请求使用了其他协议或者未知命令时，系统则会认为其违反了常规协议，接下来便会发出警报。

1.2 入侵防御系统

IPS对明确判断为攻击行为，对网络，数据造成危害的恶意行为检测检测和防御，降低或减少使用者对异常状况的处理资源开销，侧重于风险控制。

IPS通过直接嵌入到网络流量中实现主动防御，通过一个网络端口接收外部流量，检测确认无威胁后，再通过另一个端口将它传送到内部系统。IPS拥有大量过滤器，能够防止各种攻击，当新的攻击手段被发现后，IPS会创建一个新的过滤器，所有流经IPS的数据包都将被分类，每种过滤器负责分析相对应的数据包。

2 产品分类

2.1 基于主机的IDS/IPS

基于主机的IDS只能够监控一个系统，它运行在需要保护的主机之中，它能够读取主机的日志并寻找异常。但需要注意的是，当攻击发生之后，基于主机的IDS才能够检测到异常。基于网络的IDS能够检测到网段中的数据包，如果基于网络的IDS设计得当的话，它也许能够代替基于主机的IDS。基于主机的IDS其另一个缺点就是，网络中的每一台主机都需要部署一个基于主机的IDS系统。可以设想一下，如果环境中有5000台主机，这样一来部署成本就会非常高了。

基于主机的IPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

2.2 基于网络的IDS/IPS

通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。当该模型发现某些可疑的现象时，也一样会产生告警，并会向一个中心管理站点发出告警信号。

基于网络的IPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类：一类是网络处理器(网络芯片)，一类是专用的FPGA编程芯片，第三类是专用的ASIC芯片。

2.3 基于路由器的IDS/IPS

在一个网络中，几乎所有的流量都要经过路由器。路由器作为一个网络系统的网关，它是系统内主机与外部网络交互的桥梁。因此在网络安全设计架构中，路由器也是IDS和IPS系统可以考虑部署的地方。目前有很多可以整合进路由器的第三方软件，而它们可以构成网络系统抵御外部威胁的最前线。

2.4 基于防火墙的IDS/IPS

防火墙与IDS之间的区别在于，防火墙看起来可以防止外部威胁进入我们的网络，但它并不能监控网络内部所发生的攻击行为。很多厂商会在防火墙中整合IPS和IDS，这样就可以给防火墙又添加了一层保护功能。

2.5 基于云环境下的IDS/IPS实现

对于那些将自己的文件和应用托管在云端的用户来说，云服务提供商是否部署了IDS也许会成为客户考虑的其中一个因素。除此之外，用户还可以部署Snort IDS（社区版）来监控和感知威胁。

2.6 针对智能物联网设备的IDS/IPS设计

随着越来越多的用户开始使用物联网设备或智能家居设备，因此我们还要考虑如何防止IOT设备遭受外部恶意软件的攻击。由于考虑到设备功能和容量大小会不同，因此我们也许要根据设备的性能来设计自定义的IDS。