深入理解ids,ips的工作原理和机制.pdf

-

IDS，IPS的工作原理和机制

本文首先分别介绍了入侵检测机制IDS〔IntrusionDetectionSystem〕和入侵防御机制

IPS〔IntrusionPreventionSystem〕的工作原理和实现机制。然后深入讨论了IDS和IPS的

区别和各自的应用场景等。

概述

防火墙是实施访问控制策略的系统，对流经的网络流量进展检查，拦截不符合平安策略

的数据包。入侵检测技术(IDS)通过监视网络或系统资源，寻找违反平安策略的行为或攻击

迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许*些流量

通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的，而不

是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。而IPS则倾向于

提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进展拦截，防止其造成损失，

而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中

实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含

异常活动或可疑容后，再通过另外一个端口将它传送到部系统中。这样一来，有问题的数据

包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被去除掉。

IDS

根本定义

当越来越多的公司将其核心业务向互联网转移的时候，网络平安作为一个无法回避

的问题摆在人们面前。公司一般采用防火墙作为平安的第一道防线。而随着攻击者技能

的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对平安

高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，目前的

网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网

.z.

-

络管理员的工作不断加重，不经意的疏忽便有可能造成重大的平安隐患。在这种情况下，

入侵检测系统IDS〔IntrusionDetectionSystem〕就成了构建网络平安体系中不可或缺的

组成局部。IDS是英文“IntrusionDetectionSystems〞的缩写，中文意思是“入

Intrusion侵检测系统〞。专业上讲就是依照一定的平安策略，通过软、硬件，对网络、系

统的运行状况进展监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络

系统资源的性、完整性和可用性。做一个形象的比喻：假设防火墙是一幢大楼的门锁，则

IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或部人员有越界行为，只有

实时监视系统才能发现情况并发出警告。

IDS的起源

1980年，JamesP.Anderson的计算机平安威胁监控与监视(puterSecurity

ThreatMonitoringandSurveillance)第一次详细阐述了入侵检测的概念;提出计算机系统

威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开

山之作。1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的Peter

Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)。1990年，加

州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)该系

统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情

况下监控异种主机入侵检测系统开展史翻开了新的一页，两大阵营正式形成：基于网络

的IDS和基于主机的IDS。1988年之后，美国开展对分布式入侵检测系统(DIDS)的研究，

将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的

一个里程碑式的产品。从20世纪90年代到现在，入侵检测系统的研发呈现出百