什么是IDS/IPS?

目录

 

摘要

0x00 基于网络的IDS和IPS
0x01 设计考虑因素
0X02 IDS/IPS

总结

 

 

 

 

 

摘要

摘要

这篇文章主要介绍的是入侵检测系统(IDS)和入侵防御系统(IPS),而这两者均是保护我们网络安全的重要机制。在过去的几年里,网络攻击所带来的安全威胁严重程度已经上升了很多倍,几乎每个月都会发生数起严重的数据泄露事件。基于网络的IDS/IPS并不是一种新出现的技术,但是考虑到网络攻击技术的最新发展趋势,IDS和IPS的实现方式仍然是我们需要理解和考虑的内容。

因此,在这篇文章中,我们将从高层设计角度出发,跟大家讨论一下如何在不同的IT环境中更加有效地部署IDS和IPS。本文包含以下几个话题内容:

1. 什么是基于网络的IDS和IPS

2. 什么是基于主机的IDS和IPS

3. 企业环境下的IDS/IPS设计

4. 基于设备的IDS/IPS

5. 基于路由器的IDS/IPS

6. 基于防火墙的IDS/IPS

7. 基于云环境下的IDS/IPS实现

8. 针对智能物联网设备的IDS/IPS设计

9. 使用机器学习算法实现入侵检测

 

0x00 什么是基于网络的IDS和IPS?

入侵检测系统(IDS)是一种通过实时监控网络流量来定位和识别恶意流量的软件。在网络系统中,IDS所处的位置是一个非常关键的设计因素,IDS一般会部署在防火墙之后,但我们还应该在充分了解网络数据刘和整体网络架构之后再去考虑IDS的部署位置。除此之外,为了进一步提升网络的整体安全性,我们还建议可以部署多个IDS。常用的入侵检测方法如下:

a. 使用签名:厂商可以提供2000多种签名,IDS可以使用这些签名对网络流量进行模式匹配。当一个新的数据包进入我们的网络之后,它可以根据数据库中的签名数据来分析其相似度,如果检测到了匹配发生,则会发出警报。

b. 搜索异常:即为用户的使用操作设定一条基准线。比如说,如果三十个人同时打开了一个连接(考虑连接数x5),那么如果一个非正常的请求同时建立了30×5=150条连接,则会发出警报。

c. 协议异常:即检测基于协议的异常信息。例如系统所使用的协议为HTTP,但系统检测到了某些请求使用了其他协议或者未知命令时,系统则会认为其违反了常规协议,接下来便会发出警报。

当攻击发生时,入侵检测系统只能发出警报,它并不能防止攻击的发生。而入侵防御系统(IPS)却能有效地组织攻击行为的发生,因为所有的网络流量在达到目标服务器之前,都需要流经IPS。所以在没有得到允许的情况下,恶意软件是无法触及服务器的。

企业环境下的IDS设计架构如下图所示:

 

0x01 设计考虑因素

 

a. IDS一般部署在防火墙之后。

b. 在上面的设计图中,Location 1部署的IDS用于保护Web服务器。

c. Location 2部署的IDS用于保护余下的网络组件免受恶意软件的危害。

d. 这是一个基于网络的IDS,而并非基于主机的IDS,因此它无法检测到网络中两台主机之间所生成的恶意软件。

企业环境下的IPS设计架构如下图所示:

 

0X02 IDS/IPS

基于主机的IDS/IPS

基于主机的IDS只能够监控一个系统,它运行在你需要保护的主机之中,它能够读取主机的日志并寻找异常。但需要注意的是,当攻击发生之后,基于主机的IDS才能够检测到异常。基于网络的IPS能够检测到网段中的数据包,如果基于网络的IPS设计得当的话,它也许能够代替基于主机的IPS。基于主机的IDS其另一个缺点就是,网络中的每一台主机都需要部署一个基于主机的IDS系统。你可以设想一下,如果你的环境中有5000台主机,这样一来你的部署成本就会非常高了。

基于设备的IDS/IPS

你可以在一台物理服务器或虚拟服务器中安装IDS,但你需要开启两个接口来处理流入和流出的网络流量。除此之外,你还可以在Ubuntu服务器(虚拟机)上安装类似Snort的IDS软件。

基于路由器的IDS/IPS

在一个网络中,几乎所有的流量都要经过路由器。路由器作为一个网络系统的网关,它是系统内主机与外部网络交互的桥梁。因此在网络安全设计架构中,路由器也是IDS和IPS系统可以考虑部署的地方。目前有很多可以整合进路由器的第三方软件,而它们可以构成网络系统抵御外部威胁的最前线。

基于防火墙的IDS/IPS

防火墙与IDS之间的区别在于,防火墙看起来可以防止外部威胁进入我们的网络,但它并不能监控网络内部所发生的攻击行为。很多厂商会在防火墙中整合IPS和IDS,这样就可以给防火墙又添加了一层保护功能。

基于云环境下的IDS/IPS实现

对于那些将自己的文件和应用托管在云端的用户来说,云服务提供商是否部署了IDS也许会成为客户考虑的其中一个因素。除此之外,用户还可以部署Snort IDS(社区版)来监控和感知威胁。

云环境下的IDS架构如下图所示:

针对智能物联网设备的IDS/IPS设计

随着越来越多的用户开始使用物联网设备或智能家居设备,因此我们还要考虑如何防止IOT设备遭受外部恶意软件的攻击。由于考虑到设备功能和容量大小会不同,因此我们也许要根据设备的性能来设计自定义的IDS。

智能家居环境下的ISD/IPS部署架构如下图所示:

使用机器学习算法实现入侵检测

现在有很多机器学习算法能够检测异常并生成警告。机器学习算法可以对恶意行为的模式进行学习,即使恶意行为发生改变,它也能够迅速生成警报。

将机器学习方法应用到IDS/IPS:

总结

在设计网络安全架构的过程中,我们需要考虑的关键因素就是将IDS/IPS部署在何处。根据网络以及客户环境的不同,我们可以选择的设计方法有很多种。随着物联网设备和智能家居设备的兴起,IDS和IPS系统的重要性也不言而喻。值得一提的是,我们现在遇到的绝大多数的网络攻击之所以能够成功,正是因为这些系统并没有正确部署入侵检测系统。

原文地址:https://www.cnblogs.com/-qing-/p/10631924.html

时间: 2024-07-31 16:30:02

什么是IDS/IPS?的相关文章

IDS/IPS之安全解决方案

IDS/IPS联合部署: IDS和IPS是两类不同的系统.IDS的核心价值在于通过对应用网络信息的分析,了解信息系统的安全状况,以建立安全的计算机网络应用系统为目标,提供安全的防护策略.IDS需要部署在网络内部,监控范围必须覆盖整个应用网络,包括来自外部的数据以及内部终端之间传输的数据.IPS的核心价值在于安全策略的实施,即对非法业务行为的阻击.IPS必须部署在网络边界,抵御来自外部的入侵,而对内部的非法业务行为无能为力.IPS位于防火墙和网络设备之间,如果检测到攻击,IPS会在这种攻击扩散到网

FW/IDS/IPS/WAF等安全设备部署方式及优缺点

现在市场上的主流网络安全产品可以分为以下几个大类:1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略.FW可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力. FW部署位置一般为外联出口或者区域性出口位置,对内外流量进行安全隔离.部署方式常见如下 2.IDS类 此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监

构建基于Suricata+Splunk的IDS入侵检测系统

一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络.系统的运行状况进行监视,尽可能发现各种攻击企图.攻击行为或者攻击结果,并发出安全警报. IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量,对恶意报文进行丢弃,以阻止这些异常的或是具有伤害性的网络行为. NSM:网络安全监控系统,用于收集.检

五大免费企业网络入侵检测工具(IDS)

Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位. 虽然Snort"称霸"这个市场,但也有其他供应商提供类似的免费工具.很多这些入侵检测系统(IDS)供应商(即使不是大多数)结合Snort或其他开源软件的引擎来创建强大

SQLMAP 注射工具用法

1 . 介绍1.1 要求 1.2 网应用情节 1.3 SQL 射入技术 1.4 特点 1.5 下载和更新sqlmap 1.6 执照 2 . 用法2.1 帮助 2.2 目标URL 2.3 目标URL 和verbosity 2.4 URL 参量 2.5 Google dork 2.6 HTTP 方法: 得到或张贴 2.7 张贴的数据串 2.8 HTTP 曲奇饼倒栽跳水 2.9 HTTP 用户代理倒栽跳水 2.10 任意HTTP 用户代理倒栽跳水 2.11 HTTP 认证 2.12 HTTP 代理人 

pfSense设置Snort

概述 Snort是入侵检测和预防系统.它可以将检测到的网络事件记录到日志并阻止它们.Snort使用称为规则的检测签名进行操作. Snort规则可以由用户自定义创建,或者可以启用和下载几个预打包规则集中的任何一个. 最常用的是Snort VRT(漏洞研究团队)的规则. Snort VRT规则提供两种形式.一个是免费的注册用户版本,但需要在http://www.snort.org注册.免费版本仅提供最近的30天以内的规则.付费用户则提供每周两次的更新规则. 下面,我将在pfsense2.34系统中介

开源云计算OpenStack的2016年思考

题记:我们处在一个剧烈变化的时代,必须要急速地跟上时代的步伐,这就需要勇敢地驾驭着变化的浪潮,不要害怕变化. 今年,OpenStack发布了两个重要版本,一个是4月8日的Mitaka,另一个是10月6日的Newton.不可否认,在目前的云计算市场中,开源云计算是一个非常重要的组成部分,特别是Newton版本的发布,将开源云计算提升到了一个新的高度. OpenStack自推出以来,逐渐得到业界的广泛关注,在互联网企业.传统企业包括中字头的国企都有实际使用的案例,而这些都要归功于它的开源理念和自身不

sqlmap用户手册 | WooYun知识库

sqlmap用户手册 说明:本文为转载,对原文中一些明显的拼写错误进行修正,并标注对自己有用的信息. 原文:http://drops.wooyun.org/tips/143 =================================================================== 当给sqlmap这么一个url (http://192.168.136.131/sqlmap/mysql/get_int.php?id=1) 的时候,它会: 1.判断可注入的参数 2.判断可

SQLMap用户手册【超详细】

http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: 1.判断可注入的参数 2.判断可以用那种SQL注入技术来注入 3.识别出哪种数据库 4.根据用户选择,读取哪些数据 sqlmap支持五种不同的注入模式: 1.基于布尔的盲注,即可以根据返回页面判断条件真假的注入. 2.基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断. 3.基于