一、IDS概述、分类

IDS概述
IDS，intrusion detection system，入侵检测系统，其对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备，是一种积极主动的安全防护技术。与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。IDS应当挂接在所有所关注的流量都必须流过的链路上。此流量是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。IDS应尽可能靠近攻击源、尽可能靠近受保护资源，其也可以和防火墙进行联动的来阻拦入侵的行为，IDS放置位置包含：服务器区域的交换机上、边界路由器的相邻交换机上、重点保护网段的局域网交换机上。
IDS分类
1、按入侵检测形态分：硬件入侵检测、软件入侵检测
2、按目标系统的类型分：网络入侵检测、主机入侵检测、混合型入侵检测
3、按系统结构分：集中式、分布式

二、IDS作用、功能

必要性
网络安全本身的复杂性，被动式的防御方式显得力不从心，而防火墙等网络边界的设备自身可以被攻破，其对某些攻击保护很弱，由于入侵教程随处可见、各种工具唾手可得，入侵很容易。
作用
IDS可以作为防火墙的重要补充、是构建网络安全防御体系重要环节，其可以克服传统防御机制的限制。
功能
监测并分析用户和系统的活动、核查系统配置和漏洞、对操作系统进行日志管理、并识别违反安全策略的用户活动、针对已发现的攻击行为作出适当的反应，如告警、中止进程等。

三、IDS架构、工作过程

架构
1、事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。
2、事件分析器：分析数据，发现危险、异常事件，通知响应单元。
3、响应单元：对分析结果作出反应。
4、事件数据库：存放各种中间和最终数据。
工作过程
1、对当前系统或用户的行为进行监控，并根据：系统日志、应用日志、网络数据、审计记录或其他IDS报警进行信息收集。
2、事件分析器对收集的信息或知识库中的历史行为、特定行为模式等进行入侵分析，分析引擎进行异常检测、误用检测等，并判断是否为入侵行为。
3、若确定是入侵行为，则进行告警响应。

四、IPS概述、分类

IPS概述
IPS，Intrusion Prevention System，入侵防御系统，IPS是一种安全设备或软件，串行部署在设备中，其用于监测和阻止网络和计算机系统中的恶意行为和安全威胁。与入侵检测系统（IDS）不同，IPS可以在检测到威胁时，自动阻止攻击并采取行动，以保护网络和系统的安全。IPS能够监视网络或网络设备的网络资料传输行为，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流过的每个报文进行深度检测，一旦发现网络攻击，可以根据该攻击的威胁级别立即采取抵御措施。
IPS分类
1、NIPS，Network-based IPS，网络入侵防御系统，NIPS是安装在网络上的设备或软件，它可以监测网络流量，分析网络中的数据包和协议，以检测和阻止威胁。
2、HIPS，Host-based IPS，主机入侵防御系统，HIPS是安装在单个主机上的软件，它可以监测该主机上的文件、系统调用和网络连接等，以检测和阻止恶意行为和威胁。

五、IPS作用、主要功能

作用
1、实时监测网络流量和系统日志，及时发现并阻止恶意攻击，保障网络安全。
2、基于签名库和异常检测技术，可以发现已知和未知的攻击，提高安全防护能力。
3、通过防止网络攻击，可以避免数据泄露和系统瘫痪等风险，保护企业的财产和声誉。
4、提供实时的警报和事件日志，帮助管理员及时发现异常行为和攻击，减少安全漏洞的影响。
5、支持自动化防御和快速响应机制，可以在攻击发生时立即采取防御措施，降低风险并提高安全性。
6、结合其他安全设备和技术，形成综合的安全防护策略，提高网络安全的整体水平。
主要功能之：监控
1、流量监控：通过实时监控网络流量，分析数据包的内容和特征，以识别潜在的恶意活动和攻击行为。
2、恶意行为检测：使用多种检测方法（如签名匹配、异常检测和行为分析）来识别恶意行为。这些方法可以帮助IPS实时发现已知和未知的攻击。
3、预警和报警：当检测到潜在的安全事件时，它会生成预警和报警信息，通知安全团队采取相应的措施。这些报警可以通过邮件、短信或其他通知方式发送给相关人员。
4、实时阻断：具有实时阻断功能，可以在检测到攻击时立即采取措施，如丢弃恶意数据包、重置连接或阻止攻击者的IP地址。这有助于减轻攻击的影响，保护网络资源和数据。
5、事件记录和日志：记录检测到的安全事件和处理措施，生成详细的日志信息。这些日志可以用于进一步分析和审计，以提高网络安全防御能力。
6、集成与协同：IPS可以与其他安全工具（如SIEM、防火墙和入侵检测系统）集成，共享威胁情报和事件数据，实现更全面、高效的实时安全事件监控。
主要功能之：相应和处置
1、实时检测和监控：实时检测和监控网络流量和系统日志，发现安全事件和威胁，提供实时的警报和事件日志。
2、威胁情报共享：与其他安全设备和安全组织共享威胁情报，及时获取最新的攻击信息和防御策略。
3、自动化防御和快速响应：自动化防御和快速响应机制，可以在攻击发生时立即采取防御措施，降低风险并提高安全性。
4、精确的攻击定位：精确地定位攻击源和攻击目标，帮助管理员快速定位和处置安全事件。
5、提供详细的日志和报告：提供详细的日志和报告，记录安全事件和威胁情况，帮助管理员分析和评估安全状况。
6、支持与安全管理系统集成：IPS与安全管理系统集成，通过集中管理和控制，实现对全局安全事件的监控和管理，提高响应效率和准确性。
主要功能之：势态感知和可视化
1、实时监测和分析：实时监测网络流量和系统日志，分析数据流量和事件，发现安全威胁和异常行为，帮助管理员了解网络安全情况。
2、数据聚合和分析：将不同来源的数据聚合起来，并进行分析，形成综合的安全态势感知，帮助管理员快速发现网络威胁和安全漏洞。
3、可视化展示：将分析结果以图表、图形、地图等形式进行可视化展示，帮助管理员直观地了解网络安全态势，发现安全问题和威胁。
4、预警和报告：通过预警和报告功能，及时向管理员发出安全预警和报告，帮助管理员及时采取措施，保护网络安全。
5、支持与安全管理系统集成：与安全管理系统集成，通过集中管理和控制，实现对全局网络安全态势的监控和管理，提高安全感知和可视化的效率和准确性。

六、IPS主要目标、核心组件

主要目标
1、防止攻击：防止各种类型的攻击，例如拒绝服务攻击、网络蠕虫、恶意软件、网络钓鱼等，以保护网络和系统的安全。
2、监测网络流量：监测网络流量，分析网络中的数据包和协议，以检测和阻止威胁。
3、监测系统调用和文件：监测系统调用和文件，以检测和阻止恶意行为和威胁。
4、自动阻止攻击：自动阻止攻击并采取行动，例如关闭连接、终止进程等，以保护网络和系统的安全。
5、提高网络和系统的安全性：帮助组织及时发现和响应安全事件，减少安全漏洞的损害，并提高网络和系统的安全性。
6、辅助安全管理：提供详细的安全事件报告和日志，辅助安全管理人员进行安全事件的分析和管理。
核心组件
1、签名库：包含已知攻击的特征和规则，用于检测和防御已知的攻击。
2、异常检测引擎：用于检测未知攻击和异常行为，通过分析网络流量和系统日志等信息来发现攻击。
3、阻止引擎：根据检测到的攻击类型和威胁级别，采取相应的阻止措施，例如阻止网络连接或关闭相关服务。
4、管理控制台：用于配置和管理IPS系统，包括更新签名库、配置检测规则、查看警报和日志等。
5、日志和报告系统：用于记录IPS系统的活动和事件，生成报告和分析数据，帮助管理员监控和评估系统的安全状况。

七、IDS和IPS的区别

功能和目的
入侵检测系统（IDS）主要关注监控网络流量，检测潜在的恶意活动和攻击行为，并在发现异常时发出警报。而入侵防御系统（IPS）不仅具有检测功能，还具有阻止或减轻攻击的能力。简而言之，IDS主要用于发现问题，而IPS旨在解决问题。
响应方式
当IDS检测到潜在的安全事件时，它会生成警报并通知安全团队。然而，IDS本身无法采取措施阻止攻击。相反，IPS在检测到攻击时可以自动采取实时阻断措施，如丢弃恶意数据包、重置连接或阻止攻击者的IP地址。
部署位置
IDS通常部署在网络的边缘，用于监控进出网络的流量。而IPS则位于网络的内部，介于防火墙和内部网络之间，以实现对网络流量的实时监控和阻断。
性能影响
由于IPS需要实时分析和处理网络流量，因此可能对网络性能产生一定影响。而IDS通常对网络性能的影响较小，因为它主要关注监控和警报，而不涉及实时阻断。
复杂性和管理
IPS通常比IDS更复杂，因为它需要更精细的策略和规则配置，以防止误报和误阻断。此外，IPS的管理和维护工作量也可能较大，因为它需要不断更新和优化阻断策略。