跳转到主要内容

IDS/IPS

本文约需 2 分钟阅读

IDS/IPS (Intrusion Detection System / Intrusion Prevention System) 是检测并阻断对网络或系统的非法入侵的安全系统。 IDS 检测到非法活动后通知管理员,而 IPS 则更进一步,自动阻断非法通信。它与防火墙相结合,是构建纵深防御的重要要素。截至 2024 年,基于云的 IDS/IPS 正在迅速普及,可作为 AWS 或 Azure 的托管服务使用。

现场使用案例

“通过 IPS 的告警,我们检测并阻断了来自外部 IP 对公司内部 Web 服务器的 SQL 注入尝试。我们将攻击源 IP 添加到了阻断列表,并一并强化了 WAF 的规则。”

IDS 与 IPS 的比较

项目IDS (检测)IPS (防御)
动作检测并通知检测并自动阻断
部署位置镜像端口 (带外)内联 (在通信路径上)
误检的影响告警过多阻断正常通信
部署难度需要调优

IDS 与 IPS 的区别

IDS 与 IPS 常被混淆,但二者的职责有明确区别。 IDS 专注于「检测与通知」,即使发现非法通信也不会阻断,而是向管理员发送告警。而 IPS 则进行「检测与阻断」,实时自动阻断非法通信。 IDS 设置在网络外侧 (镜像端口),监控通信的副本;而 IPS 设置在网络的通信路径上 (内联),直接控制通信。由于 IPS 存在因误检而阻断正常通信的风险,因此部署时的调优至关重要。许多组织采用分阶段的方式,先用 IDS 开始监控,待运维稳定后再迁移到 IPS。

检测方式

基于特征码的检测通过与已知攻击模式进行比对来检测,精度高,但无法应对未知攻击。基于异常的检测通过识别偏离正常通信模式的行为来检测,也能检测出零日攻击,但往往误检较多。入侵检测系统书籍 (Amazon)可供深入学习。

与密码安全的关联

IDS/IPS 也被用于检测暴力破解攻击和撞库攻击。通过检测并阻断短时间内的大量登录尝试,可以防止密码的穷举攻击。为每个服务设置独特而强大的密码,并与 IDS/IPS 的防护相结合,可以大幅提升账户的安全性。安全运维书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena