什麼是IDS和IPS

IDS(Intrusion Detection Systems):入侵檢測系統

經過軟件 硬件對網絡 系統的運行情況進行監視,儘量的發現各類攻擊企圖,攻擊行爲或者是攻擊結果,以保證網絡系統資源的完整性 機密性以及可用性.

　　與防火牆不一樣的是，IDS入侵檢測系統是一個旁路監聽設備，沒有也不須要跨接在任何鏈路上，無須網絡流量流經它即可以工做。所以，對IDS的部署的惟一要求是：IDS應當掛接在全部所關注的流量都必須流經的鏈路上。在這裏，「所關注流量」指的是來自高危網絡區域的訪問流量和須要進行統計、監視的網絡報文。

　　IDS在交換式的網絡結構中的位置通常是在1.儘量的靠近攻擊源 　　2.儘量的靠近受保護資源

• 　　服務器區域的交換機上
• 　　Internet接入路由器以後的第一個交換機上
• 　　重點保護網段的局域網交換機上

企業環境下的IDS設計架構以下圖所示:

 

設計考慮因素

1. IDS通常部署在防火牆以後。

2. 在上面的設計圖中，Location 1部署的IDS用於保護Web服務器。

3. Location 2部署的IDS用於保護餘下的網絡組件免受惡意軟件的危害。

4. 這是一個基於網絡的IDS，而並不是基於主機的IDS，所以它沒法檢測到網絡中兩臺主機之間所生成的惡意軟件

　　

 

IPS(Intrusion Prevention System):入侵防護系統

IPS位於防火牆和網絡的設備之間。這樣，若是檢測到攻擊，IPS會在這種攻擊擴散到網絡的其它地方以前阻止這個惡意的通訊

　　隨着網絡攻擊技術的不斷提升和網絡安全漏洞的不斷髮現,傳統防火牆技術加傳統IDS的技術,已經沒法應對一些安全威脅。在這種狀況下,IPS技術應運而生,IPS技術能夠深度感知並檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。

　　對於部署在數據轉發路徑上的IPS,能夠根據預先設定的安全策略,對流經的每一個報文進行深度檢測(協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等),若是一旦發現隱藏於其中網絡攻擊,能夠根據該攻擊的威脅級別當即採起抵禦措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷這次應用會話;切斷這次TCP鏈接。

進行了以上分析之後,咱們能夠得出結論,辦公網中,至少須要在如下區域部署IPS,即辦公網與外部網絡的鏈接部位(入口/出口);重要服務器集羣前端;辦公網內部接入層。至於其它區域,能夠根據實際狀況與重要程度,酌情部署。

 

IDS技術與IPS技術有一個重要的區別。IPS技術能夠對檢測出的威脅進行響應，經過嘗試防止攻擊。按照他們使用的響應技術，可分爲如下幾類。
　　1）IPS的響應技術

　　a. IPS能夠阻止攻擊自己。它可使攻擊的網絡鏈接或用戶會話終止，並阻止攻擊者的賬號、IP地址、或其餘屬性。
　　b. IPS能夠改變安保環境。IPS能夠改變安保控制的配置瓦解攻擊。
　　c. IPS能夠改變攻擊內容。IPS技術能夠移去或更換攻擊的惡意部分，使其成爲良性報文。

　　2）IPS的方法
　　IPS使用多種方法保護網絡。
　　a．基於特徵的IPS
　　這是許多IPS解決方案中最經常使用的方法。把特徵添加到設備中，可識別當前最多見的攻擊。這就是爲何它也被稱爲模式匹配IPS。特徵庫能夠添加、調整和更新，以應對新的攻擊。
　　b．基於異常的IPS
　　它也被稱爲基於行規的IPS。它試圖找出偏離工程師定義爲正常的活動。基於異常的方法能夠用統計異常檢測和非統計異常檢測。基於策略的IPS：它更關心的是是否執行組織的安保策略。若是檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS，要把安全策略寫入設備之中。
　　c．基於協議分析的IPS
　　它與基於特徵的方法相似。大多數狀況檢查常見的特徵，但基於協議分析的方法能夠作更深刻的數據包檢查，能更靈活地發現某些類型的攻擊。

　　3） IPS技術

　　IPS基本上有兩大主流技術，基於主機和基於網絡的。
　　a．基於主機的IPS-HIPS
　　HIPS監視單個主機的特性和發生在主機內可疑活動的事件。HIPS的例子能夠是監視有線和無線網絡信息流、系統日誌、運行過程、文件訪問和修改、系統和應用配置的變化。大多數HIPS具備檢測軟件，安裝在代理的主機上。每一個代理監視一臺主機上的活動，並執行預防行動。代理將數據傳輸到管理服務器。每一個代理一般用於保護服務器、臺式機或筆記本電腦、或者應用服務。
　　HIPS在要監視的主機上安裝傳感器（sensor），這會影響主機性能，由於傳感器要消耗資源。
　　
　　b．基於網絡的IPS-NIPS
　　NIPS如圖3所示，NIPS監視特定網段或設備的網絡流量，並分析網絡、傳輸和應用的協議，識別可疑的活動。
　　
　　除了傳感器，NIPS組件相似於HIPS技術。NIPS傳感器監視和分析一個或多個網絡段上的網絡活動。傳感器有兩種格式：設備傳感器，它由專門的硬件和軟件組成，並針對NIPS使用進行了優化；軟件傳感器，能夠安裝到符合特定規範的主機上。

 

 

企業環境下的IPS設計架構以下圖所示：

基於主機的IDS/IPS

基於主機的IDS只可以監控一個系統，它運行在你須要保護的主機之中，它可以讀取主機的日誌並尋找異常。但須要注意的是，當攻擊發生以後，基於主機的IDS纔可以檢測到異常。基於網絡的IPS可以檢測到網段中的數據包，若是基於網絡的IPS設計得當的話，它也許可以代替基於主機的IPS。基於主機的IDS其另外一個缺點就是，網絡中的每一臺主機都須要部署一個基於主機的IDS系統。你能夠設想一下，若是你的環境中有5000臺主機，這樣一來你的部署成本就會很是高了。

基於設備的IDS/IPS

你能夠在一臺物理服務器或虛擬服務器中安裝IDS，但你須要開啓兩個接口來處理流入和流出的網絡流量。除此以外，你還能夠在Ubuntu服務器（虛擬機）上安裝相似Snort的IDS軟件。

基於路由器的IDS/IPS

在一個網絡中，幾乎全部的流量都要通過路由器。路由器做爲一個網絡系統的網關，它是系統內主機與外部網絡交互的橋樑。所以在網絡安全設計架構中，路由器也是IDS和IPS系統能夠考慮部署的地方。目前有不少能夠整合進路由器的第三方軟件，而它們能夠構成網絡系統抵禦外部威脅的最前線。

基於防火牆的IDS/IPS

防火牆與IDS之間的區別在於，防火牆看起來能夠防止外部威脅進入咱們的網絡，但它並不能監控網絡內部所發生的攻擊行爲。不少廠商會在防火牆中整合IPS和IDS，這樣就能夠給防火牆又添加了一層保護功能。

基於雲環境下的IDS/IPS實現

對於那些將本身的文件和應用託管在雲端的用戶來講，雲服務提供商是否部署了IDS也許會成爲客戶考慮的其中一個因素。除此以外，用戶還能夠部署Snort IDS（社區版）來監控和感知威脅。

雲環境下的IDS架構以下圖所示：

針對智能物聯網設備的IDS/IPS設計

隨着愈來愈多的用戶開始使用物聯網設備或智能家居設備，所以咱們還要考慮如何防止IOT設備遭受外部惡意軟件的攻擊。因爲考慮到設備功能和容量大小會不一樣，所以咱們也許要根據設備的性能來設計自定義的IDS。

智能家居環境下的ISD/IPS部署架構以下圖所示：

使用機器學習算法實現入侵檢測

如今有不少機器學習算法可以檢測異常並生成警告。機器學習算法能夠對惡意行爲的模式進行學習，即便惡意行爲發生改變，它也可以迅速生成警報。

將機器學習方法應用到IDS/IPS：

總結

在設計網絡安全架構的過程當中，咱們須要考慮的關鍵因素就是將IDS/IPS部署在何處。根據網絡以及客戶環境的不一樣，咱們能夠選擇的設計方法有不少種。隨着物聯網設備和智能家居設備的興起，IDS和IPS系統的重要性也不言而喻。值得一提的是，咱們如今遇到的絕大多數的網絡攻擊之因此可以成功，正是由於這些系統並無正確部署入侵檢測系統。