IDS与IPS
入侵检测系统(IDS,Intrusion Detection System,入侵检测系统)是检测网络中不适当、不正确或异常的活动并报告它们的系统。此外,IDS可用于检测网络或服务器是否遇到未经授权的入侵。IPS(入侵防护系统)是一种主动断开连接或丢弃数据包的系统,如果这些数据包包含未经授权的数据。IPS可以看作是IDS的扩展。
ID
IDS监视网络,并检测不适当、不正确或异常活动。ID有两种主要类型。第一个是网络入侵检测系统(NIDS)。这些系统检查网络中的流量,并监视多个主机以识别入侵。传感器用于捕获网络中的流量,并对每个数据包进行分析,以识别恶意内容。第二种类型是基于主机的入侵检测系统(HIDS)。HID部署在主机或服务器中。他们分析机器本地的数据,例如系统日志文件、审计跟踪和文件系统更改,以识别异常行为。HIDS将宿主的正常剖面与观察到的活动进行比较,以识别潜在异常。在大多数地方,IDS安装的设备被放置在板路由器和防火墙之间或板路由器外部。在某些情况下,IDS安装的设备被放置在防火墙和板路由器之外,其目的是看到所有试图攻击的范围。性能是IDS系统的关键问题,因为它们用于高带宽网络设备。即使使用高性能组件和更新的软件,IDS也往往会丢弃数据包,因为它们无法处理大吞吐量。
IPS公司
IPS是一种在识别入侵或攻击时主动采取措施防止入侵或攻击的系统。IP分为四类。第一种是基于网络的入侵防御(NIPS),它监视整个网络的可疑活动。第二类是网络行为分析(NBA)系统,它检查流量以检测异常流量,这些异常流量可能是分布式拒绝服务(DDoS)等攻击的结果。第三类是无线入侵防御系统(WIPS),它分析无线网络中的可疑流量。第四类是基于主机的入侵防御系统(HIPS),其中安装了一个软件包来监视单个主机的活动。如前所述,IPS采取主动措施,如丢弃包含恶意数据的数据包,重置或阻止来自有问题的IP地址的流量。
IPS和IDS有什么区别?