IDS和IPS

参考文章：

知乎文章，原文作者灵龙隐：什么是IDS、IPS及它们之间的区别
知乎文章，原文作者张晋：「网络安全」安全设备篇（防火墙-IDS-IPS）
CSDN文章，原文作者曹世宏的博客：IPS和IDS部署场景
CSDN文章，原文作者谢公子：IPS入侵防御系统
知乎文章，原文作者外行看IT：WAF、IDS和IPS

感谢以上文章的作者提供的宝贵学习资源。初学者总结的笔记难免有所遗漏和理解错误，希望读者在学习时也多去看一下参考的原文，如有错误还望多多指正。

0x00 前言

既然前两天刚了解了下waf和rasp，对安全设备的相关知识产生了好奇，打工人今天继续摸鱼学习下ips和ids叭=。=

0x01 IDS

什么是IDS？

IDS是英文"Intrusion Detection Systems"的缩写，中文意思是"入侵检测系统"。专业上讲IDS是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

在本质上，入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

IDS的部署

IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。

这些位置通常是：
1、服务器区域的交换机上；
2、Internet接入路由器之后的第一台交换机上；
3、重点保护网段的局域网交换机上

IDS的作用

监控、分析用户及系统活动。对系统构造和弱点的审计。识别反映已知进攻的活动模式并报警。异常行为模式的统计分析。评估重要系统和数据文件的完整性。对操作系统的审计追踪管理，并识别用户违反安全策略的行为。

IDS模型

按检测入侵的手段，IDS的入侵检测模型可分为基于网络和基于主机两种。

基于网络模型

基于网络模型即通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。当该模型发现某些可疑的现象时，也一样会产生告警，并会向一个中心管理站点发出告警信号。

这种模型有以下优点：

1、侦测速度快：基于网络的监测器，通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠最近几分钟内审计记录的分析；
2、隐蔽性好：一个网络上的监测器不像主机那样显眼和易被存取，因而也不那么容易遭受攻击；
3、视野更宽：基于网络的方法甚至可以作用在网络边缘上，即攻击者还没能接入网络时就被制止；
4、较少的监测器：由于使用一个监测器可以保护一个共享的网段，所以不需要很多的监测器；
5、占资源少：在被保护的设备上不占用任何资源，这点较主机模型最为突出。

基于主机模型

基于主机模型也称基于系统的模型，它是通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。

这种模型有以下优点：

1、性能价格比高：在主机数量较少的情况下，这种方法的性能价格比更高；
2、更加细致：可以很容易地监测一些活动，如敏感文件、目录、程序或端口的存取，而这些活动很难基于协议的线索发现；
3、视野集中：一旦入侵者得到了一个主机用户名和口令，基于主机的代理是最有可能区分正常活动和非法活动的；
4、易于用户剪裁：每一个主机有自己的代理，当然用户剪裁更加方便；
5、较少的主机：基于主机的方法有时不需要增加专门的硬件平台；
6、对网络流量不敏感：用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。

IDS分类

根据模型和部署方式的不同，IDS分为基于主机的IDS、基于网络的IDS，以及由两者取长补短发展而来的新一代分布式IDS。

基于主机的IDS

输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行，监视操作系统或系统事件级别的可疑活动（如尝试登录失败）。此类系统需要定义清楚哪些是不合法的活动，然后把这种安全策略转换成入侵检测规则。

基于网络的IDS

基于网络的IDS的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网段上的信息流，通过捕获网络数据包，进行分析，能够检测该网络段上发生的网络入侵。

分布式IDS

一般由多个部件组成，分布在网络的各个部分，完成相应功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可以检测到针对整网络上的主机的入侵。

0x02 IPS

什么是IPS？

IPS是英文"Intrusion Prevention Systems"的缩写，中文意思是"入侵防御系统"，IPS能够实现实时检查和阻止入侵。

IDS入侵检测系统大多是被动防御，而不是主动的，在攻击实际发生之前，它们往往无法预先发出警报。而IPS入侵防御系统，则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后发出警报。

对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。

IPS的部署

IPS一般采用直路部署（串联部署）。

直路部署只需要将IPS设备串连到需要保护的网络链路上即可完成部署，通过此种方式部署的IPS设备能有效地防御攻击。

以办公网为例，办公网中，一般需要在以下区域部署IPS：

1、办公网与外部网络的连接部位（入口/出口）；
2、重要服务器集群前端；
3、办公网内部接入层。
4、至于其它区域，可以根据实际情况与重要程度，酌情部署。

部署优缺点：

优点：能对流量进行控制、零配置上线。
缺点：单点故障，加大网络延时。

IPS的作用

IPS是对防病毒软件和防火墙的补充，能有效阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。

IPS原理

IPS引擎原理图：

IPS是通过直接嵌入到网络流量中实现主动防御的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另一个端口将它传送到内部系统中。通过这个过程，有问题的数据包以及所有来自同一数据流的后续数据包，都将在IPS设备中被清除掉。

IPS拥有众多过滤器，能够防止各种攻击。当新的攻击手段被发现后，IPS就会创建一个新的过滤器。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

IPS分类

基于主机的入侵防护(HIPS)

HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

基于网络的入侵防护(NIPS)

NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。

0x03 IPS和IDS区别

笔者写到这的时候突然有个觉得很形象的比喻：

如果网络是一栋大楼，那防火墙就是这栋大楼的门锁；IPS就是这栋大楼的保安（门卫），他会去阻止发现的恶意人员进入大楼并记录下有恶意人员想进入大楼；IDS就是这栋大楼的监控室（或者监控室的警务人员），他会去监控大楼的内部干坏事的人，然后把他报告给主管。

IDS一般是旁路部署，在网络之外起到侦测攻击和告警的作用，并不会起到防御的的作用；而IPS是在防火墙后、网络之前进行串联部署，如果监测到攻击则会阻断这个恶意通信。

简单来说就是部署位置不同、对恶意通信的采取的措施不同。

0x04 IPS和WAF区别

1.通常都部署在Web服务器前端，似乎都是一样的组网方式。但其实IPS大多数采用桥接模式，需要处理网络中所有的流量；而WAF我们之前讲过，是针对HTTP/HTTPS的应用层产品，多采用反向代理模式（以代理服务器的方式接收internet的连接请求，然后转发给服务器，并将得到的结果返回给internet请求连接的客户端），仅处理于Web应用相关的协议。

所以在实时防护时，两者区别在于纵横度和深度。IPS优势在于纵横度，也就是对网络中的所有流量进行监管，面对的是海量数据，WAF优势在于深度，仅提供对Web应用流量（FTP、HTTP、HTTPS）应用流量进行监管。

2.对于安全事件的发生，有三个时间点：事前、事中和事后。传统的IPS通常只对事中有效，也就是检查和防护攻击事件，其他两个时间点是WAF独有的，事前WAF主动扫描服务器来发现漏洞，通过修复Web服务器漏洞或在前端防护设备上添加防护规则等积极主动手段来预防事件发生（笔者暂时还没见识过有这个功能的设备-。-），事后即使Web服务器被攻击了，也必须有网页防篡改功能，让攻击者不能破坏网站数据。

事中不能具备100%的防护能力，因为1.软件先天是有缺陷的2.应用程序始终在更新，业务是持续发展的、动态的，如果不持续监控和调整安全策略，也会有疏漏3.攻击者永远在暗处，可以对业务系统跟踪研究，查找漏洞和防护缺陷，用各种手段来探测，并用于攻击4.任何防护设备都难以100%做到没有任何缺陷，无论是各种算法还是规则，都只能把攻击影响降低到最小化，所有WAF对事前、事中和事后的安全闭环就更为有效。

3.保护原理不同，IPS主要依靠静态的签名进行识别，也就是攻击特征，这是一种被动的安全模型，相反就是主动模型。WAF的防御模型是两者都支持的。比较粗浅的攻击方式两者都能防护，但大多数IPS无法对报文编码做多重转换，所以这导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可以绕过输入检查而直接提交给应用程序，恰恰这有时WAF的优势，能对不同的编码方式做强制多重转换还原称攻击明文，把变形后的字符组合后再分析。

4.支持主动模式的WAF具备主动学习功能，包括1.监控和学习进出的Web流量，学习链接参数类型和长度、from参数类型和长度等2.爬虫功能，爬虫主动去分析整个Web站点，并建立正常状态模型3.扫描功能，主动去扫描并根据结果生成防护规则。