2022-01-07 入侵检测IDS &入侵防御IPS

入侵检测系统也叫数据包嗅探器，报警系统。

工作原理是当数据包从因特网传入，经过防火墙到达 IDS ，IDS通过特征文件库进行特征匹配，然后根据文件类型进行文件检测，把经过过滤的数据提交给企业用户，对于不匹配的数据包，一般记录日志，告知管理员，切断IP源连接，丢弃数据包。

基于主机的入侵检测系统（HIDS）：主要用于保护运行关键应用的服务器，通过监视与分析主机的审计记录和日志文件来检测入侵，日志中包含发生在系统上的不寻常活动的证据，这些证据可以指出有人正在入侵或者已经成功入侵了系统，通过查看日志文件，能够发现成功的入侵或入侵企图，并启动相应的应急措施。

基于网络的入侵检测系统（NIDS）：主要用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析现象。基于网络的入侵检测系统使用原始的网络包作为数据源，通常利用一个运行在混杂模式下的网络适配器来进行实时监控，并分析通过网络的所有通信业务。

入侵检测过程可以监控网络中发生的事件并对它们进行分析，以确定是否存在与您的安全策略不符、可能引发事故、违规或迫在眉睫的威胁的迹象。入侵防御过程可以执行入侵检测，然后阻止检测到的事故。这些安全措施整合为入侵检测系统 (IDS) 和入侵防御系统 (IPS) 后部署到您的网络中，可以帮助您检测并阻止潜在的事故。

入侵检测系统 (IDS) 和入侵防御系统 (IPS) 会不断地监看您的网络，识别可能的事故并记录相关信息，阻止事故发生，并向安全管理员报告这些事故。另外，一些网络使用 IDS/IPS 来通过安全策略识别问题并制止个人违反安全策略。IDS/IPS 已成为大多数组织的安全基础架构中不可或缺的一部分，恰恰是因为它们既可以阻止攻击，又可以收集有关网络的信息。

IPS(Intrusion Prevention System)：入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

IPS接入方式为 串联

如同IDS一样，IPS同样分为主机入侵防御系统（HIPS）和网络入侵防御系统（NIPS）

HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的软件。如果你阻止了，那么它将无法运行或者更改。

NIPS通过检测流经的网络流量，提供对网络系统的安全保护。NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口，因此需要具备很高的性能，以免成为网络的瓶颈。