IDS与IPS工作原理

1）IDS和IPS定义：

IDS（Intrusion Detection System）：入侵检测系统，是被动的；通过监视网络或系统资源，寻找违反安全策略的行为或攻击。

IPS（Intrusion Prevention System）：入侵防御系统，是主动的；通过直接嵌入到网络流量中，利用一个网络端口接收外部流量，经过检查确认其中不包含异常活动或可疑内容，再通过另一个端口转发给内部系统（实际是对恶意流量进行清洗）。

 

2）IDS基本原理：

1、IDS分为实时入侵检测和事后入侵检测：

#1 实时入侵检测：在网络连接过程中进行，发现入侵迹象立即断开当前连接，并收集证据和实施数据恢复。

#2 事后入侵检测：由安全人员进行检测。

2、入侵检测分类：

#1 基于网络：通过连接在网络的站点捕获数据包，分析是否具有已知攻击模式。

#2 基于主机：通过分析系统审计数据来发现可疑活动，比如内存和文件的变化；输入数据只要来源于系统日志。

3、入侵检测技术途径：

#1 信息收集：系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。

#2 数据分析：

 

3）IPS基本原理：

1、IPS拥有众多的过滤器，能够防止各种攻击；IPS检查2-7层，逐一字节进行检查。

2、IPS分类：

#1 基于主机的入侵防护（HIPS）：通过在主机/服务器安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。

#2 基于网络的入侵防护（NIPS）：通过检测流经的网络流量，对网络系统提供安全防护。