本资讯是关于IDS和IPS是什么,什么是IDS/IPS产品,IPS是什么东西具体工作原理,入侵防护系统(IPS)的原理相关的内容,由数字区块链为您收集整理请点击查看详情
A. 入侵检测系统如何搭建
现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,包括感知异常情况,本文将帮你了解IDS和IPS,以及如何整合它们,实现完美保护。 nIDS vs IPS选择一款IDS和IPS最困难的就是要明白自己什么时候需要,以及它具备什么功能。市场上所有防火墙,应用防火墙,统一威胁管理设备,IDS和IPS,区分这些产品的功能,了解哪个产品的某些功能最佳是很难的。一些企业部署了IPS后发现他们可以撤掉原先的IDS,你或许也在考虑是否用IPS替换IDS.但是这并不适用于所有人。 n利用网络IPS预防应用攻击威胁应用程序愈来愈成为攻击威胁的入口。例如,非常容易受到攻击的电子商务应用。不幸地是,传统的IDS和IPS不能保护企业免受这样的攻击。好在现在厂商有面向应用的IDS和IPS.例如,Web应用防火墙,它通过异常情况和标记技术来检测频繁的攻击技术。这种新式的IPS可以弥补传统系统的不足。 n安装配置和调整网络入侵防御安装和配置基于异常情况的入侵防御设备要比基于标记的设备更复杂。基于异常情况的设备通过检测不正常的网络活动来检测和预防零日攻击。安装和配置一个可以识别未知活动的系统需要了解预期活动。但是监控网络仅几个小时是不够的。为了避免误报,系统必须要识别发生在一天当中和一个月期间内的不同活动。 n和其他安全设备不同,IDS/IPS在安装和配置后需要维护和调整。IDS和IPS的算法完全不同,因此有必要及时调整,减少误报和漏报。 n统一基础设施企业整合多个防御系统的同时也受到数据中心和能源成本的限制,如果你也碰到过这种情况,你可能会想统一网络基础设施安全策略。供应商会调整他们的产品,从在开放机架上放多供应商软件,到集成网络基础设施安全策略,通过减少数据中心的物理安全设备,可以减少管理和能源支出。
B. 什么是IDS/IPS产品
入侵检测系统(IDS):nIDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
2. 入侵防御系统(IPS):nIPS是英文“Intrusion Prevention nSystem”的缩写,中文意思是入侵防御系统。
3、IPS与IDS的区别:nIPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。n
C. IPS和IDS的区别
1、含义不同
IDS :入侵检测系统
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,实时监视系统会发现情况并发出警告。
IPS :入侵防御系统
2、作用不同
IDS专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IPS入侵防御系统是电脑网络安全设施,是对防病毒软件和防火墙的补充。 入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
(3)ips入侵检测挖矿扩展阅读:n
IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
IPS,最近几年越来越受欢迎,特别是当供应商应对NAC市场的早期挑战时,如感知部署和可用性难点。目前,大多数大型的组织都全面部署了IPS,但是在使用NAC之前,这些解决方案都被一定程度的限制以防止公司网络中发生新的攻击。你可以配置所有的IPS探测器来中断网络中恶意或其它不需要的流量。
D. 入侵防护系统(IPS)的原理
通过全面的数据包侦测,TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力,TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源,从而确保网路资源的合理配置并保证关键业务的性能。
E. IPS的IPS
( Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。20年前,电脑病毒(电脑病毒)主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。n目前流行的攻击程序和有害代码如 DoS (Denial of Service 拒绝服务),DDoS (Distributed DoS 分布式拒绝服务),暴力猜解(Brut-Force-Attack),端口扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。n网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网络资源,这就是所谓Zero Day Attack。n防火墙可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术 (Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。n每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。n在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。n入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。n应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。 A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。nB:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。nC:IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。n这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用。n入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。n入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。n这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。 * 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。n* 在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。n* 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。n* 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。n* 对Library、Registry、重要文件和重要的文件夹进行防守和保护。 投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统n(HIPS: Hostbased Intrusion Prevension System)和网路入侵预防系统n(NIPS: Network Intrusion Prevension System)两种类型。n网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。n根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。n2000年:Network ICE公司在2000年9月18日推出了业界第一款IPS产品—BlackICE Guard,它第一次把基于旁路检测的IDS技术用于在线模式,直接分析网络流量,并把恶意包丢弃。 2002~2003年:这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可,欧美一些安全大公司通过收购小公司的方式获得IPS技术,推出自己的IPS产品。比如ISS公司收购Network ICE公司,发布了Proventia;NetScreen公司收购OneSecure公司,推出NetScreen-IDP;McAfee公司收购Intruvert公司,推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。n2005年9月绿盟科技发布国内第一款拥有完全自主知识产权的IPS产品,2007年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、OEM等多种方式发布各自的IPS产品。
F. 入侵检测系统(IDS)+防火墙+入侵防护系统(IPS)能代替杀毒软件吗
不能代替的,它们各自的功能和作用是不同的。n入侵检测系统(IDS):专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。n入侵防护系统(IPS):是指能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。n防火墙:它是一种位于内部网络与外部网络之间的网络安全系统。一种信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。n一般是IDS+防火墙的组合或者IPS+防火墙的组合来完成对网络安全防护。n杀毒软件:也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。病毒软件(程序)是一种在电脑(终端)上运行的,可以类似生物病毒发病机理的,通过一定条件下来触发运行的小程序,包括电脑病毒程序及一些恶意软件等。n以上描述可以看出他们的作用各不相同,所以不能相互代替,可以完全组合起来发现各自的作用,尽可能保障网络的信息安全。
G. IPS是什么东西具体工作原理
① IPS(Intrusion Prevention System , 入侵防御系统)对于初始者来说,IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。n nIPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。nIDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备,如果你使用IPS而不是使用IDS,你的网络通常会更安全。 n② IPS(In-Plane Switching,平面转换)技术是日立于2001推出的面板技术,它也被俗称为“Super TFT”。我们知道,传统LCD显示器的液晶分子一般都在垂直-平行状态间切换,MVA和PVA将之改良为垂直-双向倾斜的切换方式,而IPS技术与上述技术最大的差异就在于,不管在何种状态下液晶分子始终都与屏幕平行,只是在加电/常规状态下分子的旋转方向有所不同—注意,MVA、PVA液晶分子的旋转属于空间旋转(Z轴),而IPS液晶分子的旋转则属于平面内的旋转(X-Y轴)。n为了配合这种结构,IPS要求对电极进行改良,电极做到了同侧,形成平面电场。这样的设计带来的问题是双重的,一方面可视角度问题得到了解决,另一方面由于液晶分子转动角度大、面板开口率低(光线透过率),所以IPS也有响应时间较慢和对比度较难提高的缺点。
H. IDS和IPS是什么
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 IPS IPS 是互联网协议群(Internet Protocol Suite ,IPS)的简写,主要包括TCP/IP协议(传输/控制协议)。 IPS也是一家国际支付公司, 上海环迅电子商务有限公司(以下简称:环迅支付 (IPS))成立于2000年,是国内最早的支付公司之一。十年来,凭借在支付领域的不断深入、技术及风险控制能力持续提升,环迅支付深受数千万持卡人信赖,月交易额不断攀升,成为国内在线支付领域的领先者。 环迅支付是中国银行卡受理能力最强的电子支付平台,每天都受理数万笔来自国内外的银行卡在线交易。至今,已经和中国国内27家主流银行建立支付合作的伙伴关系,在不断拓展国内电子支付市场的同时,环迅支付也积极拓展国际支付业务,并在国内率先与众多国际信用卡组织建立战略合作,目前环迅支付已经同Visa、MasterCard、JCB、AmericanExpress、Diners以及新加坡NETS建立良好的业务与合作关系。 环迅支付自创建以来,一直秉承“随需而至,应‘付’自如”的理念,锐意进取,勇于创新。在对支付行业深入研究的同时,及时根据市场需求开发出品质优良的产品,环迅支付的产品集成了C.A.T.(信用卡授权支付系统)、ICPAY(国际卡支付系统)、SinoPay(人民币卡支付系统)、SimplePay(储值卡支付系统)、IPS个人账户系统及电话支付等几大主流功能,并自主研发了包括酒店预订通、票务通、WAP支付解决方案等创新产品,有效满足持卡人、商户、企业和金融机构的在线金融管理需求。其中,在外贸收款方面,主要的产品是ICPAY(国际卡支付系统)。如想了解更多可以加我 咨询。 环迅支付在2001年在香港创业板上市,交易码为HK8091,公司总部在上海,在深圳,广州,北京,香港设有分公司。 现在ips是专业的支付公司,十周年现在推出的moto成功率85%, 一家支付公司最核心的业务就是风险控制系统, 而上海环迅ips具有强大的技术团队,有自己反欺诈系统, 大大降低了拒付率,为广大外贸商户减少了不必要的损失
I. 如何对IDS和IPS等进行边界测试
对于任何注意网络安全评估的公司而言,定期执行边界漏洞测试是至关重要的。有一些攻击由内部发起,而有许多攻击是来自于公司外部。这意味着,公司必须能够验证边界设备,保证系统及时安装补丁,并且保持更新。边界测试一般包括网络扫描、检查入侵检测(IDS)与入侵防御系统(IPS)、防火墙测试和蜜罐技术部署与测试。网络扫描是渗透测试应该执行的第一个活动。毕竟,您应该尽量从攻击者的角度去检查网络。您对于网络的看法是由内而外,但是攻击者的角度则不同。执行边界扫描可以帮助您确定边界设备的操作系统和补丁级别,从网络外部是否能够访问设备,以及SSL和T传输层安全(TLS)证书是否存在漏洞。此外,网络扫描有助于确定可访问的设备是否具有足够的保护措施,防止在设备部署之后不会被暴露漏洞。Nmap是一个免费的开源安全扫描工具,它可用于监控网络;这个工具支持各种不同的交换机,能够发现开放端口、服务和操作系统。部署IDS和IPS是另一种检测恶意软件活动的方法。大多数公司都会在网络边界部署IDS或IPS,但是现在人们对于这些设备对抗攻击的效果仍然存在争议。有许多方法可以测试IDS和IPS,其中包括:插入攻击。这些攻击形式是,攻击者向终端系统发送数据包被拒绝,但是IDS却认为它们是有效的。当出现这种攻击时,攻击者会在IDS中插入数据,却不会被其他系统发现。
躲避攻击。这个方法允许攻击者使IDS拒绝一个终端系统可以接受的数据包。
拒绝服务攻击。这种攻击的形式是,攻击者向IDS发送大量的数据,使IDS完全失去处理能力。这种淹没方式可能会让恶意流量悄悄绕过防御。
假警报。还记得那个谎报军情的小男孩吗?这种攻击会故意发送大量的警报数据。这些假警报会干扰分析,使防御设备无法分辨出真正的攻击。
混淆。IDS必须检查所有格式的恶意软件签名。为了混淆这种IDS,攻击者可能会对流量进行编码、加密或拆分,从而隐藏自己的身份。
去同步化。这种方法(如连接前同步和连接后同步)都可用于隐藏恶意流量。防火墙是另一种常见的边界设备,它可用于控制入口流量和出口流量。防火墙可以是有状态或无状态的,可以通过各种方法进行测试。常见的测试方法包括:防火墙识别。开放端口可能有利于确定所使用的特定防火墙技术。
确定防火墙是有状态还是无状态的。有一些简单技术(如ACK扫描)可以帮助确定防火墙的类型。
在防火墙上拦截广告。虽然这种方法并不一定有效,但是一些较老的防火墙可能真的会在广告中添加一些版本信息。最后,还有蜜罐。这些设备可用于诱捕或“囚禁”攻击者,或者有可能更深入了解他们的活动。蜜罐分成两类:低交互和高交互。蜜罐可以通过观察它们的功能检测。一个很好的低交互蜜罐是Netcat,这个网络工具可以读写通过网络连接传输的数据。执行nc-v-l-p80,可以打开TCP80监听端口,但是如果进一步检测,则不会返回广告。高交互诱捕则不仅会返回一个开放端口,还会返回当前广告,这使得攻击者更难确定它是一个真实系统或者诱捕系统。虽然我介绍了几种方法可以让你知道攻击者眼里的网络边界是什么样,但是一定要注意,许多攻击者能够通过由内而外的方式绕过边界设备和控制。
免责声明:
本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性作出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任
0.00