4.5 IDS和IPS（P643-658）

1、***檢測系統概述

　　（1）IDS的定義

　　是一種主動保護自己，使網絡和系統免遭非法***的網絡安全技術，它依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種***企圖、***行為或***結果，以保證網絡系統資源的機密性、完整性和可用性。

（2）IDS的作用

　　A、通過檢測和記錄網絡中的安全違規行為，懲罰網絡犯罪，防止網絡***事件的發生。

　　B、檢測其他安全措施未能阻止的***或安全違規行為。

　　C、檢測***在***前的探測行為，預先給管理員發出警報。

　　D、報告計算機系統或網絡中存在的安全威脅。

　　E、提供有關***的信息，幫助管理員診斷網絡中存在的安全弱點，利于其進行修補。

　　F、在大型、復雜的計算機網絡中布置***檢測系統，可以顯著提高網絡安全管理的質量。

　　（3）IDS的組成

　　一個IDS通常由探測器、分析器、響應單元、事件數據庫組成。

　　（4）IDS的類型及技術

　　基于主機的***檢測、基于網絡的***檢測、混合***檢測系統（結合前兩種技術）。

　　（5）分布式***檢測系統

　　DIDS采用了分布式智能代理的結構方式，由幾個中央智能代理和大量分布的本地代理組成，其中本地代理負責處理本地事件，而中央代理負責整體的分析工作。

2、***檢測系統實例

　　（1）RIDS-100

　　由瑞星公司自主開發研制的新一代網絡安全產品，它集***檢測、網絡管理、網絡監視功能于一身。是一套基于網絡的DIDS，它主要由***檢測引擎和管理控制臺兩部分組成。

　　典型應用方案：

　　A、監聽、檢測發生在內網之間的連接和***。　　B、監聽、檢測外網對內網的***。

（2）Cisco***檢測系統4200

　　Cisco IDS 4210可以監控45Mbps的流量，適用于T1/E1和T3環境。

　　Cisco IDS 4235可以監控200Mbps的流量，可以在交換環境中、多個T3子網上以及在10/100/1000接口的支持下提供保護。另外，它還可以部署在部分使用的千兆位鏈路上。

　　Cisco IDS 4250不但能以500Mbps的速度支持無與倫比的性能，還能保護千兆位子網以及正在穿越交換機的流量。

3、***防御系統

　　（1）***防御系統概述

　　IPS提供主動、實時的防護，其設計旨在對網絡流量中的惡意數據包進行檢測，對***性的流量進行自動攔截，使它們無法造成損失。IPS如果檢測到***企圖，就會睡去地將***包丟掉或采取措施阻斷***源，而不把***流量放進內部網絡。

　　注意區別：IPS與防火墻、IPS與IDS。

　　IPS系統根據部署方式可以分為在類：HIPS、NIPS、AIP。

　　IPS必須具備如下技術特征：嵌入式運行、深入分析的控制、***特征庫、高效處理能力。

　　（2）***防御系統的原理

　　在ISO/OSI網路層次模型（見OSI模型） 中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟體主要在第五到第七層起作用。為了彌補防火墻和除病毒軟體二者在第四到第五層之間留下的空檔，幾年前，工業界已經有***偵查系統（IDS: Intrusion Detection System）投入使用。***偵查系統在發現異常情況后及時向網路安全管理人員或防火墻系統發出警報。可惜這時災害往往已經形成。雖然，亡羊補牢，尤未為晚，但是，防衛機制最好應該是在危害形成之前先期起作用。隨后應運而生的***反應系統（IRS: Intrusion Response Systems） 作為對***偵查系統的補充能夠在發現***時，迅速作出反應，并自動采取阻止措施。而***預防系統則作為二者的進一步發展，汲取了二者的長處。

***預防系統也像***偵查系統一樣，專門深入網路數據內部，查找它所認識的***代碼特征，過濾有害數據流，丟棄有害數據包，并進行記載，以便事后分析。除此之外，更重要的是，大多數***預防系統同時結合考慮應用程序或網路傳輸重的異常情況，來輔助識別***和***。比如，用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。***預防系統雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。

　　應用***預防系統的目的在于及時識別***程序或有害代碼及其克隆和變種，采取預防措施，先期阻止***，防患于未然。或者至少使其危害性充分降低。***預防系統一般作為防火墻和防病毒軟體的補充來投入使用。在必要時，它還可以為追究***者的刑事責任而提供法律上有效的證據 （forensic）。

　　（3）IPS的檢測技術

　　A、基于特征的匹配技術　　B、協議分析技術　　C、抗DDoS/Dos技術

　　D、智能化檢測技術　　E、蜜罐技術

　　（4）IPS存在的問題

　　單點故障、性能瓶頸、誤報率和漏報率。

?

轉載于:https://blog.51cto.com/zjskobe/711099

總結

以上是生活随笔為你收集整理的网规:第4章 网络安全-4.5IDS和IPS的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。