不同的含义
IDS 入侵检测系统。 IDS主要对系统内部进行检测,运行在被监控主机上,监控主机的网络行为、系统日志、进程、内存等指标。 IPS在系统防火墙和外部网络之间进行检测,并分析流向内部的流量。监控网络或网络设备的网络数据传输行为的计算机网络安全设备,可以立即中断、调整或隔离一些异常或有害的网络数据传输行为。
打个形象的比喻:如果说防火墙是大楼的门锁,那么IDS就是大楼内的监控系统。一旦小偷从窗户爬入大楼,或者里面有人越线,实时监控系统就会检测到情况并发出警告。
IPS:入侵防御系统。 IPS位于防火墙和网络设备之间。这样,如果检测到攻击,IPS 将采取预防措施,防患于未然。 IDS是一种被动检测系统,存在于网络之外,提供预警,而不是在网络面前发挥防御作用。
不同功能
专业来说,IDS就是按照一定的安全策略,对网络和系统的运行状态进行监控,尽可能地发现各种攻击企图、攻击行为或攻击结果,保证网络的机密性、完整性和安全性系统资源。可用性。
IPS入侵防御系统是与防病毒软件和防火墙相补充的计算机网络安全设施。入侵防御系统是一种能够监控网络或网络设备的网络数据传输行为,并能立即中断、调整或隔离一些异常或有害的网络数据传输行为的计算机网络安全设备。
部署位置不同
IDS通常采用旁路访问。网络中的位置一般选择如下:尽可能靠近攻击源,并尽可能靠近受保护资源。这些位置通常是: 服务器区域的交换机上;上网路由器落后于第一台交换机;在重点保护网段的LAN交换机上。
IPS 通常使用内联访问。在办公网络中,至少需要部署在以下区域:办公网络与外部网络的连接(入口/出口);重要服务器集群的前端;以及办公网络的内部接入层。
工作机制不同
IDS主要处理攻击或者已经发生的异常行为,是一种被动的防护。以NIDS为例:NIDS采用旁路的方式获取并恢复被监控的网络数据,根据签名进行模式匹配,或者进行一系列的统计分析,并根据结果阻断有问题的会话,或者与防火墙进行交互。连锁。 IDS的致命缺点是它对阻止UDP会话不是很有效,并且对加密数据流无能为力。
IPS可以提前发现并预防攻击事件或异常行为,是一种主动防护。根据设定的过滤器,对相应的数据包进行分析。通过检查的数据包可以继续前进,含有恶意内容的数据包将被丢弃,可疑的数据包需要接受进一步的检查。
IPS的拦截方式比IDS更可靠。它可以中断和拦截UDP会话,还可以确保符合签名规则的数据包不泄露到受保护区域。
IPS的致命缺点是其性能远低于相同硬件的IDS。实际应用中,误杀和漏杀与IDS相同,主要由特征库决定。但随着UDP协议的广泛使用,UDP上的IPS的错误率可能会比IDS更高。
