什么是入侵检测与预防系统（IDPS）？

有效的网络安全解决方案必须能够…检测并消除威胁在问题升级为网络停机或数据泄露之前，入侵检测和预防解决方案能够监控网络流量并自动采取相应的应对措施。通过这种方式，入侵检测和预防解决方案满足了这两个关键需求。

本文首先探讨了IDPS解决方案究竟是什么，以及它们是如何运作的。随后，文章还提出了一些确保这些解决方案能够成功实施的最佳实践方法。

什么是IDPS？

入侵检测与预防系统（IDPS）是一种安全解决方案。能够监控交通状况，识别威胁，并自动执行相应的缓解措施。IDPS与入侵检测系统（IDS）有所不同，因为IDS缺乏自动响应功能。

IDPS是如何工作的呢？

入侵检测和预防解决方案能够实时监控网络流量，从而及时发现并消除威胁。顾名思义，入侵检测和预防系统具有两个核心功能：检测与预防。

检测/识别指的是识别网络威胁和恶意行为。

IDPS采用两种主要的技术来识别威胁。基于异常检测的算法能够发现与行为基准值存在偏差的情况，这些偏差可能表明存在活跃的网络攻击。基于签名的检测该工具将网络活动模式与来自威胁情报数据库的已知恶意软件攻击特征进行比对。

预防指的是在检测到负面威胁之后所采取的缓解措施。

入侵检测和预防系统会分析网络流量。自动实施网络安全措施这些攻击行为可能包括重置连接、丢弃恶意数据包，或者锁定用户账户。IDPS解决方案还可以将严重的威胁上报给安全团队，以便进行进一步的分析和处理。

IDPS带来的好处

IDPS解决方案为用户带来了许多潜在的优势。

• 实时监控安全团队可以受益于实时在线威胁检测功能，从而能够快速识别网络攻击。
• 自动化预防措施自动化的威胁响应机制能够阻止恶意软件的传播以及攻击行为，从而有效防止数据被盗取或网络受到破坏。
• 主动式网络安全自动化还可以节省时间。安全专业人员可以专注于一些有针对性的任务，比如威胁检测或情报分析。通过这种方式，被动式的 IDPS 解决方案能够推动主动的网络安全策略的实施，从而消除重复性的手动操作需求。
• 提升了合规性IDPS解决方案还具有合规方面的优势。企业可以在发现可疑的网络活动后，记录相关事件以及采取的缓解措施。这样，企业就能采取“合理的措施”来保护数据——而这正是HIPAA和PCI-DSS等法规所要求的核心合规要求。
• 纵深防御与IDS解决方案相比，IDPS还具有一些优势。虽然IDS能够识别威胁，但IDPS则能够真正阻止攻击的发生。这进一步增强了纵深防御策略的有效性。

IDPS的类型

IDPS并非适用于所有情况的解决方案。实际上，存在多种类型的入侵检测与预防系统。因此，各组织需要找到符合自身需求的解决方案。

需要考虑的常见IDPS类型包括：

基于网络的IDS/PAS系统（NIPS）

这些IDPS解决方案在公司的网络基础设施中的关键节点位置部署在线传感器。这些传感器的位置被精心选择，以便能够捕获和扫描所有的网络流量。例如，技术人员可以在路由器、交换机、远程接入点以及网络防火墙后面安装NIPS传感器。

标准的NIPS系统采用集中式检测工具，这些工具会将网络流量模式与预先定义的恶意行为数据库进行比对。安全工具会实时将网络流量与恶意行为的特征或恶意软件的签名进行匹配。如果检测到匹配项，自动化的预防系统会修复漏洞、消除威胁，并向安全团队发出警报。

网络行为分析工具（NBA）

NBA是一种基于网络的IDS系统，它能够主动扫描各种可疑的活动模式。该系统的扫描工具会将网络中的流量与预设的基准值进行比较。这些基准值可以是固定的，也可以由人工维护，不过，机器学习技术也可以让这些基准值随着网络状况的变化而动态调整。

NBA是一种非常有效的工具/手段。防止拒绝服务攻击。IDPS解决方案能够立即检测到与DoS攻击相关的流量模式。而那些需要逐一评估各个事件的系统，往往难以及时识别DoS攻击，从而导致需要采取被动的安全措施来应对这些攻击。

无线入侵预防系统（WIPS）

WIPS IDPS系统旨在用于……保护无线网络这些IDPS解决方案能够扫描无线射频信号，以检测那些与恶意攻击相关的非法接入点或未经授权的设备连接。企业可以部署安全的无线系统，从而实现灵活的工作方式，无论是在现场还是远程工作。

基于主机的 IDPS

基于主机的 IDPS 解决方案保护各个独立的设备这需要采取额外的网络安全措施。例如，医疗保健公司可以使用基于主机的IDS来保护那些存储着敏感医疗信息的服务器。保护网络网关也是常见的应用场景之一。

基于主机的IDPS能够监控主机设备上的网络流量、数据完整性、正在运行的进程以及应用程序的活动情况。该解决方案能够检测到可疑的TCP/IP通信行为以及操作系统的异常行为。

IDPS技术

IDPS能够保护无线网络、单个主机或整个网络环境。不过，IDPS解决方案究竟使用哪些技术来检测和防范威胁呢？

在检测方面，关键的IDPS技术包括：

基于签名的检测

基于签名的 IDPS 可以将网络流量与已知的恶意软件签名进行关联。在这种情况下，签名指的是一种具有一致性的活动模式，这种模式是特定威胁所独有的。签名通常用于识别恶意软件组件，同时也用于识别利用漏洞进行的攻击以及凭证填充攻击。

这些监控工具能够实时检测签名匹配情况。当检测到匹配情况时，IDPS系统会自动采取相应的响应措施，或者向安全团队发送警报。

签名匹配技术在检测已知的威胁方面非常有效。然而，它无法防御那些并未存储在签名数据库中的新出现的或不断演变的威胁。

基于异常检测的方法

异常检测旨在发现那些不寻常的行为模式。检测工具会将网络流量样本与既定的基准数据进行对比。这些基准数据记录了在没有恶意活动的情况下网络所呈现的常态。

任何与基准值的偏差都会触发自动响应和警报。例如，IDPS系统可以检测到流量激增、登录失败的情况，或者协议中的异常情况。

异常检测能够识别新的威胁，但也会产生大量的误报。基于人工智能的检测系统或许可以解决这个问题，从而能够立即识别出那些新型且复杂的威胁。

基于协议的检测

基于协议的威胁检测是通过对网络流量应用特定的协议或策略来实现的。例如，安全人员可以定义一种协议，比如“验证所有这种文件格式的传输行为”，或者“阻止来自[x]位置的访问”。

这些检测工具能够执行相关策略，并阻止违规行为的发生。虽然这是一种较为简单的检测方案，但在实施全网络范围内的安全策略时，它仍然发挥着重要作用。

预防和减轻威胁的方法包括：

警报/通知

IDPS工具能够检测异常情况，并向相关安全人员发送警报。这些先进的检测系统可以优先处理各种事件，并决定是发出警报还是采取自动响应措施。

自动化拦截机制

预防系统会在发生异常情况时采取措施来阻止交通的流动。例如，许多登录失败的情况可能都与某个IP地址有关。在这种情况下，系统会封锁该IP地址，以防止未经授权的入侵行为发生。

安全环境正在发生变化

在必要时，预防系统会调整网络设置以阻止威胁的入侵。例如，IDPS解决方案可能会改变防火墙的设置，以控制流量流动；或者要求用户提供额外的认证信息，才能访问那些受到安全事件影响的资源。

净化交通状况

这些安全工具能够自动过滤电子邮件中的恶意内容，消除疑似钓鱼邮件，或者阻止用户访问恶意网站。此外，这些工具还可以从网页中移除恶意脚本，以及从传入的文件中删除有害附件。通过这种方式，IDPS可以在威胁实际对目标系统造成破坏之前就将其消灭掉。

实施IDPS的最佳实践

IDPS是一套非常强大的检测与预防工具。不过，各公司必须根据自身的网络需求来合理地部署这些工具。请遵循以下最佳实践来指导您的部署策略：

• 将您的网络与位置传感器进行映射。检测工具必须覆盖所有的网络网关以及关键资产。请绘制出您的网络环境图，并在服务器、网关或数据库等位置战略性地放置传感器。
• 请务必确保基准数据的准确性。在生成活动基线时，不要走捷径。应该使用更长的学习周期来获取高质量的数据。这样做可以显著提高威胁检测系统的准确性。
• 使用特定于上下文的规则：检测和预防解决方案通常包含预先定义好的规则或策略。可以禁用那些与您的运营环境无关的规则，从而确保威胁管理过程更加高效。
• 与其他安全工具进行集成检测与预防工具应能够与SIEM、数据丢失预防系统、防病毒软件以及威胁情报解决方案无缝集成。
• 定期审核您的 IDPS 实施情况。安全解决方案需要定期进行维护检查，以验证其性能并对其进行改进。请记得定期更新签名文件，并在有可用的软件补丁时及时应用这些补丁。
• 不要仅仅停留在被动的检测和响应层面。利用 IDPS 来实现主动式威胁检测。通过深度包检查和数据收集功能，能够发现潜在的攻击迹象。同时，可以将 IDPS 的分析结果与全球范围内的情报信息相结合。

通过入侵检测与预防解决方案来实施深度防御。

IDPS解决方案实时结合 威胁监控 以及自动化的缓解措施。签名检测与异常分析工作，再加上积极的预防措施，共同构成了重要的防御机制。当这些措施得到策略性的实施和整合时，IDPS就能有效保护网络的完整性，帮助企业遵守相关法规，同时实现主动式的安全防护。