|
|
|
入侵检测系统(Intrusion Detection System,IDS)作为防火墙之后的第二道安全屏障,通过从计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析,从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象,入侵检测系统根据检测结果,自动做出响应。IDS的主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪,以及违反安全策略的用户行为的检测等。入侵检测通过实时地监控入侵事件,在造成系统损坏或数据丢失之前阻止入侵者进一步的行动,使系统能尽可能地保持正常工作。与此同时,IDS还需要收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
|
|
|
|
入侵检测系统有效地弥补了防火墙系统对网络上的入侵行为无法识别和检测的不足,入侵检测系统的部署,使得在网络上的入侵行为得到了较好的检测和识别,并能够进行及时的报警。然而,随着网络技术的不断发展,网络攻击类型和方式也在发生着巨大的变化,入侵检测系统也逐渐地暴露出如漏报、误报率高、灵活性差和入侵响应能力较弱等不足之处。
|
|
|
|
入侵防御系统(IPS)是在入侵检测系统的基础上发展起来的,入侵防御系统不仅能够检测到网络中的攻击行为,同时能够主动地对攻击行为发出响应,对攻击进行防御。两者相较,主要存在以下两种区别:
|
|
|
|
(1)在网络中的部署位置的不同。IPS一般是作为一种网络设备串接在网络中的,而IDS一般是采用旁路挂接的方式,连接在网络中。
|
|
|
|
(2)入侵响应能力的不同。IDS设备对于网络中的入侵行为,往往是采用将入侵行为记入日志,并向网络管理员发出警报的方式来处理的,对于入侵行为并无主动地采取对应措施,响应方式单一;而入侵防御系统检测到入侵行为后,能够对攻击行为进行主动防御,例如丢弃攻击连接的数据包以阻断攻击会话,主动发送ICMP不可到达数据包、记录日志和动态生成防御规则等多种方式对攻击行为进行防御。
|
|
|
