4.5 IDS和IPS（P643-658）

1、***检测系统概述

　　（1）IDS的定义

　　是一种主动保护自己，使网络和系统免遭非法***的网络安全技术，它依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种***企图、***行为或***结果，以保证网络系统资源的机密性、完整性和可用性。

（2）IDS的作用

　　A、通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络***事件的发生。

　　B、检测其他安全措施未能阻止的***或安全违规行为。

　　C、检测***在***前的探测行为，预先给管理员发出警报。

　　D、报告计算机系统或网络中存在的安全威胁。

　　E、提供有关***的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。

　　F、在大型、复杂的计算机网络中布置***检测系统，可以显著提高网络安全管理的质量。

　　（3）IDS的组成

　　一个IDS通常由探测器、分析器、响应单元、事件数据库组成。

　　（4）IDS的类型及技术

　　基于主机的***检测、基于网络的***检测、混合***检测系统（结合前两种技术）。

　　（5）分布式***检测系统

　　DIDS采用了分布式智能代理的结构方式，由几个中央智能代理和大量分布的本地代理组成，其中本地代理负责处理本地事件，而中央代理负责整体的分析工作。

2、***检测系统实例

　　（1）RIDS-100

　　由瑞星公司自主开发研制的新一代网络安全产品，它集***检测、网络管理、网络监视功能于一身。是一套基于网络的DIDS，它主要由***检测引擎和管理控制台两部分组成。

　　典型应用方案：

　　A、监听、检测发生在内网之间的连接和***。　　B、监听、检测外网对内网的***。

（2）Cisco***检测系统4200

　　Cisco IDS 4210可以监控45Mbps的流量，适用于T1/E1和T3环境。

　　Cisco IDS 4235可以监控200Mbps的流量，可以在交换环境中、多个T3子网上以及在10/100/1000接口的支持下提供保护。另外，它还可以部署在部分使用的千兆位链路上。

　　Cisco IDS 4250不但能以500Mbps的速度支持无与伦比的性能，还能保护千兆位子网以及正在穿越交换机的流量。

3、***防御系统

　　（1）***防御系统概述

　　IPS提供主动、实时的防护，其设计旨在对网络流量中的恶意数据包进行检测，对***性的流量进行自动拦截，使它们无法造成损失。IPS如果检测到***企图，就会睡去地将***包丢掉或采取措施阻断***源，而不把***流量放进内部网络。

　　注意区别：IPS与防火墙、IPS与IDS。

　　IPS系统根据部署方式可以分为在类：HIPS、NIPS、AIP。

　　IPS必须具备如下技术特征：嵌入式运行、深入分析的控制、***特征库、高效处理能力。

　　（2）***防御系统的原理

　　在ISO/OSI网路层次模型（见OSI模型） 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档，几年前，工业界已经有***侦查系统（IDS: Intrusion Detection System）投入使用。***侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的***反应系统（IRS: Intrusion Response Systems） 作为对***侦查系统的补充能够在发现***时，迅速作出反应，并自动采取阻止措施。而***预防系统则作为二者的进一步发展，汲取了二者的长处。

***预防系统也像***侦查系统一样，专门深入网路数据内部，查找它所认识的***代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数***预防系统同时结合考虑应用程序或网路传输重的异常情况，来辅助识别***和***。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。***预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

　　应用***预防系统的目的在于及时识别***程序或有害代码及其克隆和变种，采取预防措施，先期阻止***，防患于未然。或者至少使其危害性充分降低。***预防系统一般作为防火墙和防病毒软体的补充来投入使用。在必要时，它还可以为追究***者的刑事责任而提供法律上有效的证据 （forensic）。

　　（3）IPS的检测技术

　　A、基于特征的匹配技术　　B、协议分析技术　　C、抗DDoS/Dos技术

　　D、智能化检测技术　　E、蜜罐技术

　　（4）IPS存在的问题

　　单点故障、性能瓶颈、误报率和漏报率。