(一)入侵检测系统(Intrusion Detection System, IDS)
(1)定义
通过从计算机系统或网络中的若干关键点收集网络的安全日志、用户行为、网络数据包和审计记录等信息并对其进行分析,从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象。
(2)意义
防火墙之后的第二道安全屏障,入侵检测系统根据检测结果,自动做出响应。
(3)主要功能
- 对用户和系统行为的监测与分析
- 系统安全漏洞的检查和扫描
- 重要文件的完整性评估
- 已知攻击行为的识别
- 异常行为模式的统计分析
- 操作系统的审计跟踪
- 违反安全策略的用户行为的检测
入侵检测通过实时监控入侵事件,在造成系统损坏或数据丢失之前阻止入侵者进一步行动,使系统能尽可能地保持正常工作。还需收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
有效地弥补了防火墙系统对网络上的入侵行为无法识别和检测的不足,能够进行及时报警。
(4)缺点
漏报、误报率高、灵活性差和入侵响应能力较弱等。
(二)入侵防御系统(IPS)
是在入侵检测系统的基础上发展起来的,不仅能够检测到网络中的攻击行为,同时能主动地对攻击行为发出响应,对攻击进行防御。
(三)入侵检测系统VS入侵防御系统
系统 | 在网络中部署位置不同 | 入侵响应能力不同 | |
1 | 入侵检测系统 | 采用旁路挂接 | 将入侵行为记入日志,并向网络管理员发出警报。不主动采取对应措施,响应方式单一 |
2 | 入侵防御系统 | 作为网络设备串接 | 对攻击行为主动防御,例如丢弃攻击连接的数据包以阻断攻击会话,主动发送ICMP不可到达数据包、记录日志和动态生成防御规则等 |