什么是 IDS 和 IPS?

什么是 IDS 和 IPS?

入侵检测过程可以监控网络中发生的事件并对它们进行分析,以确定是否存在与您的安全策略不符、可能引发事故、违规或迫在眉睫的威胁的迹象。入侵防御过程可以执行入侵检测,然后阻止检测到的事故。这些安全措施整合为入侵检测系统 (IDS) 和入侵防御系统 (IPS) 后部署到您的网络中,可以帮助您检测并阻止潜在的事故。

IDS/IPS 解决的问题

典型的公司网络会有几个连接到其他公共和私有网络的接入点。其中的挑战在于,如何确保在向客户开放这些接入点的同时保护自身网络的安全。现在的攻击都非常老到,它们甚至可以绕过最好的安全系统,尤其是那些仍在以为通过加密或防火墙就能得到安全保护的网络中运行的系统。遗憾的是,单凭这些技术不足以应对当今的攻击。

 

 

IDS/IPS 有何作用?

入侵检测系统 (IDS) 和入侵防御系统 (IPS) 会不断地监看您的网络,识别可能的事故并记录相关信息,阻止事故发生,并向安全管理员报告这些事故。另外,一些网络使用 IDS/IPS 来通过安全策略识别问题并制止个人违反安全策略。IDS/IPS 已成为大多数组织的安全基础架构中不可或缺的一部分,恰恰是因为它们既可以阻止攻击,又可以收集有关网络的信息。

IDS 的工作原理是什么?

通常使用三种 IDS 检测方法来检测事故。

  • 基于签名的检测会将签名与观察到的事件进行比较,以识别可能的事故。这是最简单的检测方法,因为它只使用字符串比较运算比较当前的活动单元(例如将一个数据包或一个日志条目与一个签名列表进行比较)。
  • 基于异常的检测会将视为异常活动的行为定义与观察到的事件进行比较,以识别重大违规。在测定以前未知的威胁方面,此方法可能非常有效。
  • 有状态的协议分析将预先确定的每个协议状态的良性协议活动通常接受的定义资料与观察到的事件进行比较,以识别违规。

瞻博网络实施

瞻博网络将其 SRX 系列服务网关用于入侵检测和防御 (IDP) 服务。您可以针对在您选择的 SRX 系列设备中传输的网络流量,选择性地实施各种攻击检测和防御技术。您可以根据区域、网络和应用程序划分流量段并定义相应的策略规则,然后针对该流量采取主动或被动防御措施。SRX 系列设备包含一整套 IPS 签名,以确保网络免受攻击。瞻博网络会定期更新预先定义的攻击数据库。SRX 系列设备可以使用数据包捕获 (PCAP) 系统日志结合协议,将其流量中的 PCAP 数据转发到瞻博网络安全分析 (JSA) 设备。