IDS (Intrusion Detection Systems)入侵檢測系統
專業上講就是依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓裏的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行爲,只有實時監視系統才能發現情況併發出警告。
IPS (Intrusion Prevention System) 入侵防禦系統
是對防病毒軟件(Antivirus Programs)和防火牆(Packet Filter, Application Gateway)的補充。
IPS是一部能夠監視網絡或網絡設備的網絡資料傳輸行爲的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行爲。
入侵檢測提供了一種識別的方法,因此可以對系統的攻擊進行反應。檢測到攻擊是一回事,阻止攻擊則是另一回事。這時,最高等級的IT安保行動是防止攻擊和可能的災害;而IDS往往只能帶來一點點這樣的功能。因此,對入侵檢測系統功能的擴展,就產生了入侵防禦系統(IPS)。在當前防禦能力不足的情況下,驅動了這一新的安全產品誕生,被稱爲入侵防禦系統。
IDS技術與IPS技術有一個重要的區別——IPS技術可以對檢測出的威脅進行響應,通過嘗試防止攻擊。
入侵檢測系統IDS,對網絡信息流進行分析,發現惡意活動時生成警報。他們一般都能夠在攻擊開始後發出特殊報文復位TCP連接,有的甚至能夠與防火牆系統連接,在線重新編寫防火牆規則集。
IDS的侷限性是不能反擊網絡攻擊,因爲IDS傳感器基於數據包嗅探技術,只能眼睜睜地看着網絡信息流過。IPS可執行IDS相同的分析,因爲他們可以插入網內,裝在網絡組件之間,而且他們可以阻止惡意活動。
這是IDS和IPS之間的最大差別,如何使用具有非常重要的意義。由於IPS傳感器需要流量流過,他們只能部署在網絡咽喉點,而IDS傳感器可以提供更廣泛的網絡覆蓋。