信息安全-网安产品（IPS IDS HIDS）

本期看点

前期已发布IT建设之路（专业技术篇）之“企业IT管理”、“IT技术架构”，目前正在发布的章节是“信息安全”，后续还会有“应用架构”、“数据架构”。

       IT建设之路专业技术篇预计更新100期，码字不易，欢迎关注不迷路。

网络安全产品，是如何进行防御的？本期介绍入侵防御系统IPS、入侵检测系统IDS、主机入侵检测系统HIDS。

信息安全

1. 信息安全原则策略
   1.1 原则  
   1.2 策略    
   1.3 访问控制
   1.4 区域划分
   1.5 密码分级
   1.6 区域划分
   1.7 变更与控制管理
   1.8 保护机制
   1.9 政策与法规
   1.10 安全角色与职责
2. 网络安全防护
   2.1 经典的网络安全事件
   2.2 构建自己的防御体系  
   2.3 网络安全威胁类型
   2.4 网络安全产品  ←←本文
3. 终端安全
   3.1 终端安全管理
   3.2 操作系统和数据库安全管理
4. 信息安全管理体系

01

IPS入侵防御系统

入侵防御系统 （IPS）是一种网络安全/威胁防御技术，用于检查网络流量流向检测和防止漏洞攻击。

漏洞利用通常以恶意输入目标应用程序或服务的形式出现，攻击者利用这些输入中断并控制应用程序或机器。成功利用后，攻击者可以禁用目标应用程序（导致 拒绝服务 状态），或者可以访问受感染应用程序可用的所有权利和权限。

01

IPS如何发现漏洞利用

IPS 有多种检测方法用于发现漏洞利用，但基于签名的检测和基于统计异常的检测是两种主要机制。

一、基于签名的检测

基于每个漏洞利用代码中唯一可识别模式（或签名）的字典。当漏洞被发现时，其签名会被记录并存储在不断增长的签名字典中。IPS 的签名检测分为两种类型：

1. 面向漏洞利用的签名通过触发特定漏洞利用尝试的独特模式来识别单个漏洞利用。IPS 可以通过在流量流中找到与面向漏洞利用的签名匹配来识别特定的漏洞利用

2. 面向漏洞的签名是更广泛的签名，针对目标系统中的潜在漏洞。这些签名可以保护网络免受在野外可能未直接观察到的漏洞利用变体的影响，但也会增加误报的风险。

二、统计异常检测

随机抽取网络流量样本，并将它们与预先计算的基线性能水平进行比较。当网络流量活动样本超出基准性能参数时，IPS 会采取行动来处理这种情况。

02

IPS工作机制

IPS 通常直接位于防火墙后面，并提供一个补充分析层，对危险内容进行负面选择。与其前身入侵检测系统 (IDS)不同， 入侵检测系统(IDS) 是一种扫描流量并报告威胁的被动系统，IPS 被置于内联（在源和目标之间的直接通信路径中），主动分析所有进入网络的流量。具体而言，这些行动包括：

向管理员发送警报

丢弃恶意数据包

阻止来自源地址的流量

重置连接

03

IPS性能要求

IPS为内联安全组件，IPS 必须高效工作以避免降低网络性能。它还必须快速运行，因为漏洞可以近乎实时地发生。IPS 还必须准确检测和响应，以消除威胁和误报（将合法数据包误读为威胁）。

02

IDS（入侵检测系统）

入侵检测系统 （IDS）是一种网络安全技术，最初用于检测针对目标应用程序或计算机漏洞的攻击。入侵防御系统 (IPS) 扩展了 IDS 解决方案，除了检测威胁外，还增加了阻止威胁的能力，并已成为 IDS/IPS 技术的主要部署选项。

01

IDS如何检测入侵

IDS 只需要检测威胁，因此被放置在网络基础设施的带外，这意味着它不在信息发送方和接收方之间真正的实时通信路径中。IDS 解决方案通常会利用 TAP 或 SPAN 端口来分析内联流量流的副本（从而确保 IDS 不会影响内联网络性能）。

IDS 最初是以这种方式开发的，因为当时入侵检测所需的分析深度无法与网络基础设施直接通信路径上的组件保持同步。

02

IDS工作机制

IDS 是一个只听设备。IDS 监控流量并将其结果报告给管理员，但无法自动采取行动来防止检测到的漏洞接管系统。攻击者一旦进入网络，就能够非常迅速地利用漏洞，这使得 IDS 不足以作为防御设备的部署。

03

IPS vs IDS

 入侵防御系统IPS     

在网络基础设施中的放置：直接通信线路的一部分（内联）

系统类型：主动（监控和自动防御）和/或被动  被动（监视和通知）

漏洞利用的签名：面向漏洞的签名

入侵检测系统IDS

    部署位置：外部直接通信线路（带外）

    系统类型：基于统计异常的检测

03

HIDS（主机入侵检测系统）

HIDS(Host-based Intrusion Detection System)主机入侵检测系统这不是一个新名词，很早之前其实就有这个产品，这是一种在服务器上运行的软件，用于检测服务器是否被入侵的安全软件，不同于IPS，WAF类产品，它直接面向系统和应用，因此在检测的准确性是明显高于其它网络设备。

01

HIDS能检测的入侵

HIDS目前可以实现对恶意命令，RCE,反弹shell，蜜罐诱捕，恶意DNS请求，恶意网络连接，暴力破解，异常登录，病毒，webshell,木马，rootkit,挖矿程序，黑客工具，文件篡改，本地提权，恶意网络连接进行识别。

02

HIDS工作机制

HIDS 不进行阻断，只是检测并告警，所以部署时对应用影响也相对较小。

03

HIDS与杀毒软件的区别

与杀毒软件相比，它是用于识别黑客的各类行为的，这与杀毒软件基于库识别病毒文件有着本质区别。所以很多时候杀毒软件无法识别时，HIDS可以识别。开源产品有OSSEC和WAZUH。

下期将介绍：信息安全-网络安全产品（应用防火墙WAF、漏洞扫描工具、蜜罐、安全事件管理系统）。

内容还行？点击上面鼓励他们一下吧！

注：部分文字和图片源自互联网，整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益，请后台留言。如情况属实，我们会第一时间删除并向您致歉。