深入理解ids,ips的工作原理和機(jī)制

1、IDS，IPS的工作原理和機(jī)制的工作原理和機(jī)制本文首先分別介紹了入侵檢測(cè)機(jī)制IDS（IntrusionDetectionSystem）和入侵防御機(jī)制IPS（IntrusionPreventionSystem）的工作原理和實(shí)現(xiàn)機(jī)制。然后深入討論了IDS和IPS的區(qū)別和各自的應(yīng)用場(chǎng)景等。?概述概述防火墻是實(shí)施訪問(wèn)控制策略的系統(tǒng)，對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測(cè)技術(shù)(IDS)通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策

2、略的行為或攻擊跡象，并發(fā)出報(bào)警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過(guò)，因此防火墻對(duì)于很多入侵攻擊仍然無(wú)計(jì)可施。絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，而不是主動(dòng)的。也就是說(shuō)，在攻擊實(shí)際發(fā)生之前，它們往往無(wú)法預(yù)先發(fā)出警報(bào)。而IPS則傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過(guò)

3、一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái)，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。?IDS基本定義基本定義當(dāng)越來(lái)越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時(shí)候，網(wǎng)絡(luò)安全作為一個(gè)無(wú)法回避的問(wèn)題擺在人們面前。公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者技能的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略

4、已經(jīng)無(wú)法滿足對(duì)安全高度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時(shí)，目前的網(wǎng)絡(luò)環(huán)境也變得越來(lái)越復(fù)雜，各式各樣的復(fù)雜的設(shè)備，需要不斷升級(jí)、補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成重大的安全隱患。在這種情況下，入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）就成了構(gòu)建網(wǎng)絡(luò)安全體系中不可或缺的組成部分。IDS是英文“IntrusionDetectionSystems”的縮寫

5、，中文意思是“入統(tǒng)一的協(xié)議，使各部分能夠根據(jù)協(xié)議所制訂的標(biāo)準(zhǔn)進(jìn)行溝通是很有必要的。IETF目前有一個(gè)專門的小組IDWG（IntrusionDetectionWkingGroup）負(fù)責(zé)定義這種通信格式，稱作IntrusionDetectionExchangeFmat。目前只有相關(guān)的草案，并未形成正式的RFC文檔。盡管如此，草案為IDS各部分之間甚至不同IDS系統(tǒng)之間的通信提供層協(xié)議，其設(shè)計(jì)多其他功能（如可從任意端發(fā)起連接，結(jié)合了加密、身份

6、驗(yàn)證等）。入侵檢測(cè)的分類入侵檢測(cè)的分類按入侵檢測(cè)的手段、IDS的入侵檢測(cè)模型可分為基于網(wǎng)絡(luò)和基于主機(jī)兩種?；谥鳈C(jī)模型。也稱基于系統(tǒng)的模型，它是通過(guò)分析系統(tǒng)的審計(jì)數(shù)據(jù)來(lái)發(fā)現(xiàn)可疑的活動(dòng)，如內(nèi)存和文件的變化等。其輸入數(shù)據(jù)主要來(lái)源于系統(tǒng)的審計(jì)日志，一般只能檢測(cè)該主機(jī)上發(fā)生的入侵。這種模型有以下優(yōu)點(diǎn)：一是性能價(jià)格比高：在主機(jī)數(shù)量較少的情況下，這種方法的性能價(jià)格比可能更高。二是更加細(xì)致：這種方法可以很容易地監(jiān)測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或

7、端口的存取，而這些活動(dòng)很難在基于協(xié)議的線索中發(fā)現(xiàn)。三是視野集中：一旦入侵者得到了一個(gè)主機(jī)用戶名和口令，基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)的。四是易于用戶剪裁：每一個(gè)主機(jī)有其自己的代理，當(dāng)然用戶剪裁更方便了。五是較少的主機(jī)：基于主機(jī)的方法有時(shí)不需要增加專門的硬件平臺(tái)。六是對(duì)網(wǎng)絡(luò)流量不敏感：用代理的方式一般不會(huì)因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉對(duì)網(wǎng)絡(luò)行為的監(jiān)視?；诰W(wǎng)絡(luò)的模型）即通過(guò)連接在網(wǎng)絡(luò)上的站點(diǎn)捕獲網(wǎng)上的包，并分析其是否具有已知

8、的攻擊模式，以此來(lái)判別是否為入侵者。當(dāng)該模型發(fā)現(xiàn)某些可疑的現(xiàn)象時(shí)也一樣會(huì)產(chǎn)生告警，并會(huì)向一個(gè)中心管理站點(diǎn)發(fā)出“告警”信號(hào)?；诰W(wǎng)絡(luò)的檢測(cè)有以下優(yōu)點(diǎn)：基于網(wǎng)絡(luò)的檢測(cè)有以下優(yōu)點(diǎn)：一是偵測(cè)速度快：基于網(wǎng)絡(luò)的監(jiān)測(cè)器通常能在微秒或秒級(jí)發(fā)現(xiàn)問(wèn)題。而大多數(shù)基于主機(jī)的產(chǎn)品則要依靠對(duì)最近幾分鐘內(nèi)審計(jì)記錄的分析。二是隱蔽性好：一個(gè)網(wǎng)絡(luò)上的監(jiān)測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊。三是視野更寬：基于網(wǎng)絡(luò)的方法甚至可以作用在網(wǎng)絡(luò)的邊緣上，