入侵檢測系統?(IDS)和入侵防御系統?(IPS)之間的主要區別在于IDS 是監控系統，而 IPS 是控制系統。IDS 不會改變網絡流量，而 IPS 根據數據包的內容阻止數據包傳遞，類似于防火墻通過 IP 地址阻止流量的方式。IDS 用于監控網絡并在檢測到系統或網絡上的可疑??活動時發送警報，同時 IPS 對網絡攻擊做出 實時反應，以 防止它們到達目標系統和網絡。

簡而言之，IDS 和 IPS 具有檢測攻擊特征的能力，主要區別在于它們對攻擊的響應。但是，需要注意的是，IDS 和 IPS 都可以實現相同的監控和檢測方法。在本文中，我們概述了入侵的特征、 網絡犯罪分子可以用來危害網絡安全的各種攻擊媒介、IDS/IPS 的定義，以及它們如何保護您的網絡和提高網絡安全。

什么是網絡入侵？

網絡入侵是計算機網絡上的任何未經授權的活動。檢測入侵取決于對網絡活動和常見安全威脅有清晰的了解。適當設計和部署的網絡入侵檢測系統和網絡入侵防御系統可以幫助阻止旨在竊取敏感數據、造成數據泄露和安裝惡意軟件的入侵者。網絡和端點可能容易受到來自世界任何地方的威脅參與者的入侵，這些參與者可能會利用您的攻擊面。

常見的網絡漏洞包括：

惡意軟件：惡意軟件或惡意軟件是對計算機用戶有害的任何程序或文件。 惡意軟件的類型 包括計算機病毒、 蠕蟲、特洛伊木馬、 間諜軟件、廣告軟件和勒索軟件。在此處閱讀我們關于惡意軟件的完整帖子。

數據存儲設備：USB和外部硬盤驅動器等便攜式存儲設備可能會將惡意軟件引入您的網絡。

社會工程攻擊：社會工程是一種攻擊媒介，它利用人類心理和敏感性來操縱受害者泄露機密信息和敏感數據或執行違反常規安全標準的操作。社會工程的常見示例包括 網絡釣魚、魚叉式網絡釣魚和捕鯨攻擊。在此處閱讀我們關于社會工程的完整帖子。

過時或未打補丁的軟件和硬件：過時或未打補丁的軟件和硬件可能存在已知漏洞， 例如CVE 中列出的漏洞。漏洞是可以的弱點利用由網絡攻擊 ，以獲得未經授權的訪問或在計算機系統上執行未經授權的操作。諸如導致WannaCry勒索軟件的可蠕蟲漏洞風險特別高。閱讀我們關于漏洞的完整帖子以獲取更多信息。

什么是入侵防御系統 (IPS)？

入侵防御系統 (IPS) 或入侵檢測和防御系統 (IDPS) 是網絡安全應用程序，專注于識別可能的惡意活動、記錄信息、報告嘗試并試圖阻止它們。IPS 系統通常直接位于防火墻后面。此外，IPS 解決方案可用于識別安全策略問題、記錄現有威脅并阻止個人違反安全策略。為了阻止攻擊，IPS 可以通過重新配置防火墻或更改攻擊內容來改變安全環境。許多人將入侵防御系統視為入侵檢測系統的擴展，因為它們都監視網絡流量和/或系統活動以發現惡意活動。

入侵防御系統 (IPS) 如何工作？

入侵防御系統 (IPS) 通過以下一種或多種檢測方法掃描所有網絡流量來工作：

基于簽名的檢測：基于簽名的 IPS 監控網絡中的數據包，并與稱為簽名的預先配置和預先確定的攻擊模式進行比較。

基于統計異常的檢測：基于異常 的 IPS 監控網絡流量并將其與已建立的基線進行比較。該基線用于識別網絡中的“正?！鼻闆r，例如使用了多少帶寬以及使用了哪些協議。雖然這種類型的異常檢測有助于識別新威脅，但當帶寬的合法使用超過基線或基線配置不當時，它也會產生誤報。

狀態協議分析檢測：該方法通過將觀察到的事件與普遍接受的良性活動定義的預定配置文件進行比較來識別協議狀態的偏差。

一旦檢測到，IPS 會對通過網絡傳輸的每個數據包執行實時數據包檢查，如果認為可疑，IPS 將執行以下操作之一：

• 終止已被利用的 TCP 會話
• 阻止有問題的 IP 地址或用戶帳戶訪問任何應用程序、主機或網絡資源
• 重新編程或重新配置防火墻以防止以后發生類似的攻擊
• 通過重新打包有效負載、刪除標頭信息或破壞受感染的文件來刪除或替換攻擊后殘留的惡意內容

正確部署后，這允許 IPS 防止由惡意或不需要的數據包以及一系列其他網絡威脅造成的嚴重損害，包括：

• 分布式拒絕服務 (DDOS)
• 漏洞利用
• 電腦蠕蟲
• 病毒
• 蠻力攻擊

什么是入侵檢測系統 (IDS)？

入侵檢測系統 (IDS) 是一種設備或軟件應用程序，用于監控網絡或系統是否存在惡意活動和策略違規。任何惡意流量或違規行為通常都會報告給管理員或使用安全信息和事件管理 (SIEM)系統集中收集。

入侵檢測系統 (IDS) 如何工作？

IDS 使用三種常見的檢測變體來監控入侵：

基于簽名的檢測：通過查找特定模式來檢測攻擊，例如網絡流量中的字節序列或惡意軟件使用的簽名（已知的惡意指令序列）。該術語源自將這些模式稱為簽名的防病毒軟件。雖然基于簽名的 IDS 可以輕松檢測已知的網絡攻擊，但它們很難檢測到沒有可用模式的新攻擊。

基于信譽的檢測：根據信譽分數識別潛在的網絡威脅。

基于異常的檢測：一種入侵檢測系統，用于通過監控系統活動并將其分類為正?；虍惓頇z測網絡和計算機的入侵和濫用。開發這種類型的安全系統是為了檢測未知攻擊，部分原因是惡意軟件的快速發展?；痉椒ㄊ鞘褂脵C器學習來創建可信賴活動的模型，并將新行為與模型進行比較。由于這些模型可以根據特定的應用程序和硬件配置進行訓練，因此與傳統的基于簽名的 IDS 相比，它們具有更好的泛化特性。然而，他們也遭受更多的誤報。

入侵檢測系統 (IDS) 有哪些不同類型？

IDS 系統的范圍可以從單臺計算機到大型網絡，通常分為兩種類型：

網絡入侵檢測系統 (NIDS)：分析傳入網絡流量的系統。NIDS 放置在網絡中的戰略點，以監控進出設備的流量。它對整個子網上的傳遞流量進行分析，并將子網上傳遞的流量與已知攻擊庫相匹配。當識別出攻擊時，可以向管理員發送警報。

基于主機的入侵檢測系統 (HIDS)：在單個主機或設備上運行和監控重要操作系統文件的系統。HIDS 監控來自設備的入站和出站數據包，并在檢測到可疑活動時向用戶或管理員發出警報。如果關鍵文件已被修改或刪除，它會拍攝現有系統文件的快照并將它們與以前的快照進行匹配，從而引發警報。