IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,实时监视系统会发现情况并发出警告。
HIDS和NIDS有什么区别
所谓入侵检测(Intrusion Detection),就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到袭击的迹象,并对此做出适当反应的流程。
而入侵检测系统(Intrusion Detection System,IDS)则是实现这些功能的系统。IDS应该包含收集信息、分析信息、给出结论、做出反应四个流程。
HIDS和NIDS的区别如下:
1. HIDS(Host-based Intrusion Detection System,基于主机的入侵检测系统)
① HIDS将代理安装在受保护的系统中,它要求与操作系统内核和服务紧密捆绑在一起,监控各种系统事件,如对内核或API的调用,以此来进行防御。
② HIDS还可以监测特定的系统文件和可执行文件调用,以及Windows NT下的安全记录和Unix环境下的系统记录。
③ HIDS能对检测的入侵行为、事件给予积极的反应,比如断开连接、封掉用户账号、杀死进程、提交警报等。
④ HIDS技能要求非常高,要求开发HIDS的企业对有关的操作系统非常了解,而且安装在主机上的代理必须非常可靠,系统占用小,自身安全性要好,否则将会对系统产生负面影响。
⑤ HIDS关注的是到达主机的各种安全威胁,并不关注网络的安全。
⑥ HIDS由于采取的是对事件和系统调用的监控,衡量它的技术指标非常少。
2. NIDS(Network Intrusion Detection System,网络入侵检测系统)
① NIDS最大的特点在于不需要改变服务器等主机的配置,它不需在业务系统的主机中安装额外的软件。
② NIDS不是系统中的关键路径,即使发生故障也不会影响正常业务的运行。
③ NIDS是以网络包作为分析数据源。它通常运用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。
④ NIDS的分析模块通常运用模式匹配、统计分析等技能来识别攻击行为,一旦检测到了攻击行为,NIDS的响应模块就作出适当的响应,比如报警、切断有关用户的网络连接等。
⑤ NIDS收集的是网络中的动态流量信息,因此,攻击特征库数目多少以及数据处理能力,就决定了NIDS识别入侵行为的能力。
⑥ 部署一个NIDS,比HIDS的风险与成本相对较低。
⑦ NIDS采取的基本上都是模式匹配的形式,所以衡量NIDS的技术指标可以数量化。
⑧ 在NIDS的应用过程中,最大的敌人就是误警和漏警。漏警不影响应用环境的可用性,只是用户的投资失误;而误警则有可能导致警报异常、网络紊乱,甚至应用的瘫痪。
IPS (入侵防御系统)
入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
IPS系统分为基于主机和网络两种类型
保障深层防御情况下的精确阻断,即在确保精确阻断的基础上,尽量多地发现攻击行为(如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件),这才是IPS发展的主线功能。
常用的攻击检测方法有两种,一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测,其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截;但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理,定义攻击类型的统一特征,能准确识别基于相同原理的各种攻击、不受攻击变种的影响,但技术门槛高、扩充复杂、应对新攻击速度有限。