IDS与IPS区别
IDS∶入侵检测系统(IDS )是一种通过实时监控网络流量来定位和识别恶意流量的软件。在网中,IDS所处的位置是一个非常关键的设计因素,IDS一般会部署在防火墙之后当攻击发生时系统只能发出警报,它并不能防止攻击的发生。
而入侵防御系统(IPS )却能有效地组织攻击行为的发生,因为所有的网络流量在达到目标服务都需要流经IPS。所以在没有得到允许的情况下,恶意软件是无法触及服务器的。
IPS缺点:
1.需要进行解包封包的过程,增加了网络延迟
2.会产生误判
分类
1)基于主机的IDS/IPS : 【HIDS】大规模部署麻烦﹔信任。
2)基于网络流量的IDS/IPS【NIDS]
3 )基于路由器的IDS/IPS:收集路由器流量
4)基于防火墙的IDS/IPS:收集防火墙流量
5)基于云环境下的 IDS/IPS实现∶云IDS
6)针对智能物联网设备的IDS/IPS
7)使用机器学习算法实现入侵检测
判断原理
- 签名方式
- 基于特征,特征码,判断准,但不能发现未知恶意代码。
- 异常行为,误判率较高