IDS与IPS 概述
典型的企业网络利用许多网络设备来防止来自互联网的攻击并维护网络的安全。IDS/IPS 是实现这一目标的主要网络防御之一。在本文中,我们将深入了解 IDS/IPS。
入侵检测系统
IDS 代表入?侵检测系统。顾名思义,IDS 用于检测和监控流量中是否存在非法数据包或可疑活动,并在遇到此类情况时发出警报。IDS 通常是一种扫描网络并将其报告给 SIEM 进行进一步分析的软件,以便根据组织策略采取适当的操作。
IDS检测方法
IDS 实现了两种方法来检测网络中数据包的异常情况。他们是 :
- 基于签名的检测:在基于签名的检测中,IDS 通过观察事件并使用已知攻击的签名识别模式来检测恶意数据包。如果签名匹配,则发出警报,否则允许该数据包进入网络。
- 基于异常的检测:在基于异常的检测中,数据包过滤基于一组预定义的规则或模式,而不是签名/模式。如果数据包与规则/模式不匹配,则会发出警报并发送给 SIEM。
入侵检测系统分类
IDS可以分为五种类型。
- 网络入侵检测系统 (NIDS) -顾名思义,NIDS 通过检查网络流量来识别入侵。在 NIDS 中,传感器放置在 DMZ 或网络边界处。Snort 是 NIDS 最好的例子。
- 主机入侵检测系统 (HIDS) -顾名思义,HIDS 是特定于主机的。主机上安装HIDS代理,对进出主机的流量、日志、访问进行监控。OSSEC 是一个基于 HIDS 的 IDS。
- 基于协议的入侵检测系统(PIDS)—— PIDS通常安装在服务器上,监视和分析服务器使用的协议。示例 - 安装在 Web 服务器上的 PIDS 将用于监视和分析流入/流出服务器的 HTTP/HTTPS 流量。
- 混合入侵检测系统——混合入侵检测系统将两种或多种不同类型的IDS结合在一起,并合而为一。
现在我们对IDS有了很好的了解,接下来我们来了解一下IPS。
IPS
IPS 代表入??侵防御系统。顾名思义,它检测恶意数据包,将信息发送到 SIEM 并阻止数据包。与仅检测和报告数据包的 IDS 不同,IPS 也会尝试阻止数据包。因此,IPS 比 IDS 更先进,也更有效。
IPS检测方式
IPS 实施三种方法来检测异常并阻止网络中的数据包。他们是:
- 基于签名的检测:在基于签名的检测中,IPS 通过观察事件并使用已知攻击的签名识别模式来检测恶意数据包。如果签名匹配,则会发出警报并丢弃数据包。
- 基于异常的检测:在基于异常的检测中,数据包过滤基于一组预定义的规则或模式,而不是签名/模式。如果数据包与规则/模式不匹配,则会发出警报,发送到 SIEM 并丢弃数据包。
- 状态协议分析检测:在状态协议分析检测中,检测是基于协议的分歧。将传入数据包与可接受的定义的配置文件进行比较,并相应地丢弃或允许数据包。
最佳 IDS/IPS 软件
现在我们对 IDS/IPS 及其类型有了一个很好的概述,以下是那些想要在其环境中部署 IDS/IPS 的人可以使用的选项。
入侵/妥协的迹象
入侵的主要迹象如下 -
- 主动访问未使用的登录信息
- 非工作时间登录
- 新用户帐户创建
- 系统日志删除
- 系统性能下降
- 系统上的未知文件和程序
- 文件大小和文件权限修改
- 日志文件中的随机日志数据
- 从远程位置重复尝试登录
- 本地系统上的奇怪文件标识
本文暂时没有评论,来添加一个吧(●'◡'●)