IDS作用
1.监控、分析用户及系统活动。
2.对系统构造和弱点的审计。
3.识别反映已知进攻的活动模式并报警。
4.异常行为模式的统计分析。
5.评估重要系统和数据文件的完整性。
6.对操作系统的审计追踪管理,并识别用户违反安全策略的行为。
安全设备篇(3)——IPS
什么是IPS?
IPS是英文"Intrusion Prevention Systems"的缩写,中文意思是"入侵防御系统",IPS实现实时检查和阻止入侵。
上文「网络安全」安全设备篇(2)——IDS提到的IDS入侵检测系统大多是被动防御,而不是主动的,在攻击实际发生之前,它们往往无法预先发出警报。而IPS入侵防御系统,则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后发出警报。
IPS原理
IPS引擎原理图
IPS是通过直接嵌入到网络流量中实现主动防御的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另一个端口将它传送到内部系统中。通过这个过程,有问题的数据包以及所有来自同一数据流的后续数据包,都将在IPS设备中被清除掉。