入侵检测系统（IDS）的工作机制

• 信息收集：
  • 网络流量监测：通过在网络中的关键位置，如交换机、路由器等部署网络传感器，监听网络中的数据包。这些传感器可以捕获流经网络的所有数据流量，包括不同协议、不同端口的通信信息235.
  • 系统日志收集：收集主机系统、网络设备、应用程序等产生的日志文件。日志中包含了用户登录、操作记录、系统错误等丰富的信息，通过对这些日志的分析，可以发现潜在的安全威胁，比如多次登录失败等异常行为235.
  • 文件完整性检查：定期检查关键文件和系统配置文件的完整性，通过计算文件的哈希值等方式，与原始的哈希值进行对比。若文件被篡改，哈希值会发生变化，从而检测到可能的入侵行为 。
• 数据分析235 ：
  • 特征匹配：也称为误用检测，依据预定义的特征库或规则集来识别已知的攻击模式。特征库中包含了各种恶意软件的签名、常见攻击手段的特征等。例如，当网络流量中出现与某个已知病毒的特征码相匹配的数据包时，IDS 就会判定为检测到攻击行为。
  • 异常检测：通过建立正常网络行为或系统活动的基准模型，监测和分析实际行为与正常模型的偏差。当出现与正常模式明显不符的活动时，如某个用户在非工作时间大量下载数据，或者网络流量突然出现异常的峰值等，IDS 会将其视为可疑行为并发出警报 。
• 响应处理：
  • 警报生成：当 IDS 检测到潜在的安全威胁时，会生成相应的警报信息，通知系统管理员或安全人员。警报信息通常包括攻击的类型、发生的时间、源 IP 地址、目标 IP 地址等详细内容，以便管理员能够快速定位和评估威胁的严重程度23.
  • 记录日志：将检测到的事件详细记录到日志文件中，为后续的安全审计和调查提供依据。日志记录可以帮助管理员追溯攻击的源头、分析攻击的路径和影响范围等35.
  • 联动其他安全设备：一些高级的 IDS 可以与防火墙、入侵防御系统等其他安全设备进行联动。例如，当 IDS 检测到攻击行为时，可以自动通知防火墙修改访问规则，暂时阻断来自攻击源的流量，以增强整体的安全防护能力3.

入侵防御系统（IPS）的工作机制

• 实时监控与数据采集：
  • 网络流量监控：IPS 通常以串联的方式部署在网络的关键路径上，如网络边界、核心交换机等位置，对所有流经的网络流量进行实时监控和捕获。它能够深入到数据包的内容层面，对网络层、传输层以及应用层的信息进行全面检查12.
  • 协议分析与数据重组：对捕获到的数据包进行协议分析，识别出各种应用层协议，并根据协议规范对数据包进行解码和重组。这样可以确保能够完整地理解和分析网络通信的内容，有效检测出隐藏在正常通信中的攻击行为，例如针对特定应用协议漏洞的攻击13.
• 攻击检测与识别123 ：
  • 特征匹配：与 IDS 类似，IPS 也会使用预定义的特征库来匹配已知的攻击模式。通过将网络流量中的数据与特征库中的签名进行比对，快速检测出常见的恶意软件、漏洞利用、网络攻击等行为。
  • 行为分析：借助机器学习、智能分析等技术，对网络行为和流量模式进行动态分析，建立正常行为的基线模型。当发现与正常模型有较大偏差的异常行为时，即使该行为不在已知的攻击特征范围内，IPS 也能够及时识别并进行预警和防御，从而有效应对未知的新型攻击。
  • 关联分析：能够对多个事件进行关联分析，从复杂的网络活动中发现潜在的攻击链。例如，当检测到某个主机先进行了端口扫描，随后又对特定端口发起攻击尝试时，IPS 可以通过关联这两个事件，更准确地判断出攻击的意图和威胁程度。
• 主动防御与响应12 ：
  • 阻断攻击：一旦 IPS 检测到攻击行为，会立即采取主动的防御措施，如丢弃恶意数据包、封锁攻击源 IP 地址等，直接阻止攻击的继续进行，从而在攻击造成实际损害之前将其拦截。
  • 流量调整：根据预设的安全策略，对网络流量进行动态调整。例如，当发现某个网络区域存在异常流量时，可以限制该区域的带宽，防止攻击流量对整个网络造成拥塞和影响；或者将可疑流量引导至特定的安全检测区域进行进一步的分析和处理。
  • 策略更新：IPS 的特征库和安全策略会不断更新，以适应不断变化的网络攻击手段和安全威胁形势。通过及时更新特征库，可以确保 IPS 能够检测和防御最新出现的恶意软件、漏洞利用等攻击行为，保持系统的高安全性