ids(intrusion detection systems):入侵檢測系統
通過軟體 硬體對網路 系統的執行狀況進行監視,盡可能的發現各種攻擊企圖,攻擊行為或者是攻擊結果,以保證網路系統資源的完整性 機密性以及可用性.
與防火牆不同的是,ids入侵檢測系統是乙個旁路監聽裝置,沒有也不需要跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對ids的部署的唯一要求是:ids應當掛接在所有所關注的流量都必須流經的鏈路上。在這裡,「所關注流量」指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。
ids在交換式的網路結構中的位置一般是在1.盡可能的靠近攻擊源 2.盡可能的靠近受保護資源
企業環境下的ids設計架構如下圖所示:
71. ids一般部署在防火牆之後。
2. 在上面的設計圖中,location 1部署的ids用於保護web伺服器。
3. location 2部署的ids用於保護餘下的網路元件免受惡意軟體的危害。
4. 這是乙個基於網路的ids,而並非基於主機的ids,因此它無法檢測到網路中兩台主機之間所生成的惡意軟體
ips(intrusion prevention system):入侵防禦系統
ips位於防火牆和網路的裝置之間。這樣,如果檢測到攻擊,ips會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通訊
隨著網路攻擊技術的不斷提高和網路安全漏洞的不斷發現,傳統防火牆技術加傳統ids的技術,已經無法應對一些安全威脅。在這種情況下,ips技術應運而生,ips技術可以深度感知並檢測流經的資料流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網路頻寬資源。
對於部署在資料**路徑上的ips,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏於其中網路攻擊,可以根據該攻擊的威脅級別立即採取抵禦措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次tcp連線。
進行了以上分析以後,我們可以得出結論,辦公網中,至少需要在以下區域部署ips,即辦公網與外部網路的連線部位(入口/出口);重要伺服器集群前端;辦公網內部接入層。至於其它區域,可以根據實際情況與重要程度,酌情部署。
ids技術與ips技術有乙個重要的區別。ips技術可以對檢測出的威脅進行響應,通過嘗試防止攻擊。按照他們使用的響應技術,可分為以下幾類。
1)ips的響應技術
a. ips可以阻止攻擊本身。它可以使攻擊的網路連線或使用者會話終止,並阻止攻擊者的帳號、ip位址、或其他屬性。
b. ips可以改變安保環境。ips可以改變安保控制的配置瓦解攻擊。
c. ips可以改變攻擊內容。ips技術可以移去或更換攻擊的惡意部分,使其成為良性報文。
2)ips的方法
ips使用多種方法保護網路。
a.基於特徵的ips
這是許多ips解決方案中最常用的方法。把特徵新增到裝置中,可識別當前最常見的攻擊。這就是為什麼它也被稱為模式匹配ips。特徵庫可以新增、調整和更新,以應對新的攻擊。
b.基於異常的ips
它也被稱為基於行規的ips。它試圖找出偏離工程師定義為正常的活動。基於異常的方法可以用統計異常檢測和非統計異常檢測。基於策略的ips:它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的ips,要把安全策略寫入裝置之中。
c.基於協議分析的ips
它與基於特徵的方法類似。大多數情況檢查常見的特徵,但基於協議分析的方法可以做更深入的資料報檢查,能更靈活地發現某些型別的攻擊。
3) ips技術
ips基本上有兩大主流技術,基於主機和基於網路的。
a.基於主機的ips-hips
hips監視單個主機的特性和發生在主機內可疑活動的事件。hips的例子可以是監視有線和無線網路資訊流、系統日誌、執行過程、檔案訪問和修改、系統和應用配置的變化。大多數hips具有檢測軟體,安裝在**的主機上。每個**監視一台主機上的活動,並執行預防行動。**將資料傳輸到管理伺服器。每個**通常用於保護伺服器、台式電腦或膝上型電腦、或者應用服務。
hips在要監視的主機上安裝感測器(sensor),這會影響主機效能,因為感測器要消耗資源。
b.基於網路的ips-nips
nips如圖3所示,nips監視特定網段或裝置的網路流量,並分析網路、傳輸和應用的協議,識別可疑的活動。
除了感測器,nips元件類似於hips技術。nips感測器監視和分析乙個或多個網路段上的網路活動。感測器有兩種格式:裝置感測器,它由專門的硬體和軟體組成,並針對nips使用進行了優化;軟體感測器,可以安裝到符合特定規範的主機上。
企業環境下的ips設計架構如下圖所示:
基於主機的ids只能夠監控乙個系統,它執行在你需要保護的主機之中,它能夠讀取主機的日誌並尋找異常。但需要注意的是,當攻擊發生之後,基於主機的ids才能夠檢測到異常。基於網路的ips能夠檢測到網段中的資料報,如果基於網路的ips設計得當的話,它也許能夠代替基於主機的ips。基於主機的ids其另乙個缺點就是,網路中的每一台主機都需要部署乙個基於主機的ids系統。你可以設想一下,如果你的環境中有5000臺主機,這樣一來你的部署成本就會非常高了。
你可以在一台物理伺服器或虛擬伺服器中安裝ids,但你需要開啟兩個介面來處理流入和流出的網路流量。除此之外,你還可以在ubuntu伺服器(虛擬機器)上安裝類似snort的ids軟體。
在乙個網路中,幾乎所有的流量都要經過路由器。路由器作為乙個網路系統的閘道器,它是系統內主機與外部網路互動的橋梁。因此在網路安全設計架構中,路由器也是ids和ips系統可以考慮部署的地方。目前有很多可以整合進路由器的第三方軟體,而它們可以構成網路系統抵禦外部威脅的最前線。
防火牆與ids之間的區別在於,防火牆看起來可以防止外部威脅進入我們的網路,但它並不能監控網路內部所發生的攻擊行為。很多廠商會在防火牆中整合ips和ids,這樣就可以給防火牆又新增了一層保護功能。
對於那些將自己的檔案和應用託管在雲端的使用者來說,雲服務提供商是否部署了ids也許會成為客戶考慮的其中乙個因素。除此之外,使用者還可以部署snort ids(社群版)來監控和感知威脅。
雲環境下的ids架構如下圖所示:
隨著越來越多的使用者開始使用物聯網裝置或智慧型家居裝置,因此我們還要考慮如何防止iot裝置遭受外部惡意軟體的攻擊。由於考慮到裝置功能和容量大小會不同,因此我們也許要根據裝置的效能來設計自定義的ids。
智慧型家居環境下的isd/ips部署架構如下圖所示:
現在有很多機器學習演算法能夠檢測異常並生成警告。機器學習演算法可以對惡意行為的模式進行學習,即使惡意行為發生改變,它也能夠迅速生成警報。
在設計網路安全架構的過程中,我們需要考慮的關鍵因素就是將ids/ips部署在何處。根據網路以及客戶環境的不同,我們可以選擇的設計方法有很多種。隨著物聯網裝置和智慧型家居裝置的興起,ids和ips系統的重要性也不言而喻。值得一提的是,我們現在遇到的絕大多數的網路攻擊之所以能夠成功,正是因為這些系統並沒有正確部署入侵檢測系統。
什麼是IDS和IPS
ids intrusion detection systems 入侵檢測系統 通過軟體 硬體對網路 系統的執行狀況進行監視,盡可能的發現各種攻擊企圖,攻擊行為或者是攻擊結果,以保證網路系統資源的完整性 機密性以及可用性.與防火牆不同的是,ids入侵檢測系統是乙個旁路監聽裝置,沒有也不需要跨接在任何鏈...
IPS和IDS的區別
入侵檢測系統 ids ids intrusion detection systems,入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統 執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。入侵防禦系統 ips ips intrusio...
IDS與IPS的區別是什麼?
ids 入侵檢測系統 ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,通過軟 硬體,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。做乙個...