安全术语解读：IDS、NIDS、IPS

       入侵检测系统（Intrusion Detection System，IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

 

工作原理
1、数据采集：

       IDS 通过在网络中的不同位置部署传感器，收集网络流量、系统日志等数据。这些传感器可以是基于网络的，也可以是基于主机的。
2、数据分析：

       收集到的数据被送往分析引擎进行处理。分析引擎使用各种检测方法，如特征匹配、异常检测等，来判断是否存在入侵行为。
3、特征匹配：

       将收集到的数据与已知的攻击特征进行对比，如果匹配，则认为存在入侵。例如，已知某种恶意软件会在网络中发送特定的数据包模式，IDS 可以通过识别这种模式来检测到该恶意软件的攻击。
4、异常检测：

       通过建立正常行为的模型，当检测到的数据与正常模型有较大偏差时，认为存在入侵。比如，正常情况下某个主机的网络流量在一定范围内波动，如果突然出现大幅增加，可能意味着该主机正在遭受攻击。
5、响应处理：

       如果分析引擎判断存在入侵行为，IDS 会采取相应的响应措施。这些措施可以包括发出警报、记录事件、阻断网络连接等。

 

类型
1、基于主机的 IDS（HIDS）：

       安装在单个主机上，主要监视该主机的活动。HIDS 可以检测到针对该主机的攻击，如未经授权的访问、恶意软件感染等。它通过分析主机的系统日志、文件系统变化等信息来检测入侵。
2、基于网络的 IDS（NIDS）：

       部署在网络中，监视整个网络的流量。NIDS 可以检测到网络中的各种攻击行为，如端口扫描、拒绝服务攻击等。它通过分析网络数据包的内容、协议等信息来检测入侵。
3、分布式 IDS（DIDS）：

       由多个分布在不同位置的检测组件组成，通过协作来检测入侵行为。DIDS 可以提高检测的准确性和可靠性，同时也可以应对大规模、复杂的网络环境。

 

优点
1、实时监测：

       IDS 可以实时监视网络或主机的活动，及时发现入侵行为。这使得管理员能够在攻击造成严重后果之前采取措施进行应对。
2、主动防御：

       IDS 不仅可以检测到入侵行为，还可以采取主动的响应措施，如阻断网络连接、发出警报等。这有助于减少攻击的影响，保护网络和系统的安全。
3、可扩展性：

       IDS 可以根据网络的规模和需求进行扩展。可以添加更多的传感器、分析引擎等组件，以提高检测的能力和覆盖范围。
4、提供证据：

       IDS 可以记录入侵事件的详细信息，为安全事件的调查和取证提供重要的证据。这有助于管理员了解攻击的方式和来源，采取相应的防范措施。

 

挑战与局限性
1、误报和漏报：

       IDS 可能会产生误报，即把正常的网络活动误认为是入侵行为；也可能会产生漏报，即未能检测到真正的入侵行为。这可能是由于检测方法的不完善、攻击特征的不完整等原因造成的。
2、性能影响：

       IDS 的运行可能会对网络或主机的性能产生一定的影响。特别是在处理大量数据时，IDS 可能会消耗较多的系统资源，导致网络延迟增加、主机性能下降等问题。
3、对抗性：

       攻击者可以采取各种手段来规避 IDS 的检测，如使用加密技术、伪装攻击流量等。这使得 IDS 的检测难度增加，需要不断更新和改进检测方法。
4、管理复杂性：

       IDS 需要进行有效的管理和维护，包括配置检测规则、更新攻击特征库、处理误报等。这需要管理员具备一定的技术水平和经验，增加了管理的复杂性。

       NIDS 即 Network Intrusion Detection System（网络入侵检测系统）。
       网络入侵检测系统是一种对网络流量进行实时监测的安全设备，主要用于检测和防范网络中的各种入侵行为。它就像网络空间中的 “哨兵”，时刻警惕着潜在的威胁，一旦发现异常情况，便会立即发出警报，以便网络管理员能够及时采取应对措施。

 

工作原理
1、流量捕获：

       NIDS 通常部署在网络的关键位置，如网络边界、服务器区域等，通过监听网络流量来获取数据包。它可以捕获各种网络协议的数据包，包括 TCP、UDP、ICMP 等。
2、数据分析：

       捕获到数据包后，NIDS 会对其进行深入分析。分析的方法主要有两种：特征检测和异常检测。
3、特征检测：

       将数据包与已知的攻击特征进行对比，如果匹配，则认为存在入侵行为。例如，如果数据包中包含特定的恶意代码特征，或者与已知的攻击模式相符，NIDS 就会发出警报。
4、异常检测：

       通过建立正常网络行为的模型，当检测到的网络流量与正常模型有较大偏差时，判断为异常行为，可能存在入侵。比如，如果网络中突然出现大量来自陌生 IP 地址的连接请求，或者某个主机的网络流量异常增大，都可能被视为异常行为。
5、警报生成与响应：

       如果 NIDS 检测到入侵行为，它会生成警报并通知网络管理员。警报可以通过多种方式发出，如电子邮件、短信、系统弹窗等。同时，NIDS 还可以根据预设的策略采取一些自动响应措施，如阻断可疑连接、隔离受影响的主机等。

 

部署方式
1、网络边界部署
       将 NIDS 部署在网络边界，如防火墙之后，可以对进出网络的所有流量进行监测。这种部署方式可以有效地检测来自外部网络的攻击，同时也可以对内部用户访问外部网络的行为进行监控。
       在网络边界部署 NIDS 时，需要注意选择合适的位置，以确保能够捕获到所有的网络流量。同时，还需要考虑与其他网络安全设备的协同工作，如防火墙、入侵防御系统（IPS）等。
2、关键网络节点部署
       在网络中的关键节点，如服务器区域、数据中心入口等位置部署 NIDS，可以对特定的网络区域进行重点监测。这种部署方式可以针对关键业务系统和敏感数据进行更加精细的安全防护。
       关键网络节点部署需要根据具体的网络架构和业务需求进行规划，确保 NIDS 能够覆盖到所有的关键区域，同时避免对网络性能造成过大的影响。
3、分布式部署
       对于大型网络或分布式网络环境，可以采用分布式部署的方式，将多个 NIDS 部署在不同的位置，通过集中管理平台进行统一管理和分析。这种部署方式可以提高检测的覆盖范围和准确性，同时也便于进行集中管理和响应。
       分布式部署需要考虑各个 NIDS 之间的通信和协同工作，确保信息的及时共享和统一决策。同时，还需要建立有效的管理机制，确保各个 NIDS 的正常运行和及时更新。

 

优势与挑战
1、优势
1）实时监测：

       NIDS 可以实时监测网络流量，及时发现入侵行为，为网络安全提供快速响应。
2）全面覆盖：

       能够对整个网络进行监测，不受特定主机或应用的限制，提供全面的安全视图。
3）可扩展性：

       可以根据网络规模的扩大和业务需求的变化进行扩展，适应不同的网络环境。
4）威胁情报共享：

       一些先进的 NIDS 可以与威胁情报平台进行集成，实时获取最新的威胁情报，提高检测的准确性和及时性。
2、挑战
1）误报和漏报：

       由于网络环境的复杂性和多样性，NIDS 可能会产生误报和漏报。误报会给管理员带来不必要的工作负担，而漏报则可能导致安全事件的发生。
2）性能影响：

       对网络流量的实时监测和分析会消耗一定的系统资源，可能会对网络性能产生影响。特别是在处理大量网络流量时，需要考虑 NIDS 的性能优化问题。
3）加密流量检测：

       随着加密技术的广泛应用，NIDS 难以直接分析加密流量的内容，这给检测带来了一定的挑战。
4）攻击规避：

       攻击者可以采用各种手段来规避 NIDS 的检测，如使用加密技术、伪装攻击流量等，这需要 NIDS 不断更新检测算法和技术，提高对抗攻击的能力。

       全称为 Intrusion-Prevention System，即入侵防御系统，目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。

 

定义
       入侵防御系统是一种网络安全技术，它能够实时监控网络流量，主动识别并阻止网络入侵行为。与入侵检测系统（IDS）不同的是，IDS 只是检测并发出警报，而 IPS 不仅能检测，还能直接采取行动来阻止恶意活动，例如阻止来自外部网络的恶意攻击流量，如黑客攻击、蠕虫病毒传播等。

 

工作原理
1、数据包检查：

       IPS 会检查通过网络的每个数据包的内容。它会深入分析数据包的头部（包含源地址、目的地址、端口号等信息）和数据部分。

       例如，通过检查数据包头部的 IP 地址，可以判断是否有来自可疑 IP 范围的连接请求。对于数据部分，它可以检查是否包含恶意代码或攻击签名。
2、攻击签名识别：

       IPS 拥有一个庞大的攻击签名数据库。这些签名是已知的网络攻击模式，如 SQL 注入攻击、跨站脚本攻击（XSS）等的特征。当网络流量中的数据包匹配到这些签名时，IPS 就会判定为可能的攻击。

       例如，在 SQL 注入攻击签名中，可能包含特定的 SQL 命令字符序列，如 “SELECT * FROM users WHERE username = ‘” 后面跟着可疑的用户输入内容。
3、行为分析：

       除了基于签名的检测，IPS 还能进行行为分析。它会建立网络正常行为的基线模型，当检测到异常的网络行为时，即使这种行为没有匹配到已知的攻击签名，IPS 也会发出警报并采取措施。

       例如，如果一台内部服务器突然开始向外大量发送数据，且这种行为与该服务器的正常行为模式不符，IPS 就会将其视为可疑行为。
4、主动防御机制：

       一旦 IPS 确定存在入侵行为，它会采取多种方式进行防御。最常见的是直接丢弃可疑的数据包，阻止恶意连接的建立。

       例如，当检测到来自某个 IP 地址的端口扫描行为时，IPS 会丢弃所有来自该 IP 的扫描数据包，从而阻止攻击者获取网络中的端口信息，为后续的攻击做准备。它还可以向防火墙发送指令，修改访问控制规则，临时或永久地阻止来自恶意源的流量。

 

应用场景
1、企业网络安全防护：

       在企业网络环境中，IPS 可以部署在企业内部网络和外部网络（如互联网）之间的边界处。它能够保护企业的服务器、办公终端等免受外部网络攻击。例如，当企业的 Web 服务器面临 DDoS（分布式拒绝服务）攻击时，IPS 可以识别并阻止大量的恶意请求流量，保证服务器的正常运行，避免服务中断。
2、数据中心安全：

       数据中心存储着大量的敏感数据，如用户信息、财务数据等。IPS 可以对进出数据中心的网络流量进行深度检测，防止黑客窃取数据或破坏数据中心的基础设施。例如，通过阻止恶意软件渗透到数据中心的存储系统中，保护数据的完整性和保密性。
3、云计算环境防护：

       在云计算环境中，多个用户共享计算资源。IPS 可以确保不同用户之间的隔离性，防止一个用户的恶意行为影响到其他用户。同时，它还能保护云服务提供商的基础设施免受外部攻击，维护云计算服务的安全和稳定。