1 入侵检测IDS

入侵检测系统 （IDS）：被动检测网络流量模式，将其报告为可疑模式，并在不消除威胁的情况下插入管理警报的软件。
入侵检测系统 （IDS） 是一种硬件或软件工具，用于监视网络或系统资源是否存在未经授权的活动，例如非法活动和违反策略的行为。

它的工作原理是对传入的网络流量进行被动扫描，然后将其与配置的签名或行为模式进行比较，以突出显示可能表明安全漏洞的任何不一致之处。IDS 会生成警报或记录来通知管理员，但不会采取任何主动措施来防止威胁的发生。

IDS 在非突发时间内检测网络中的流量增加，并通知管理员查看这是否是一次严重的安全攻击。

2 防御系统IPS

入侵防御系统 （IPS）：另一种安全措施，可实时检测事件并在可疑流量 导致系统滥用之前阻止其进入网络。
IPS 的目标是防止损坏。当您了解攻击情况时，系统已经在努力确保安全。

称为入侵防御系统 （IPS） 的附加安全层比 IDS 更先进，可以立即检测和防止恶意活动，也是一种安全措施。入侵防御系统 （IPS） 的功能基于在流经系统时拦截网络流量，将已知威胁特征与异常活动进行比较，以及通过在威胁对网络或系统造成任何损害之前阻止或消除威胁来快速响应威胁。相比之下，IDS 仅发出警告，而 IPS 主动阻止恶意负载。

示例：IPS（入侵防御系统）实时检查签名不会让具有整个网络的单一签名的恶意软件。

3 IDS 对比IPS系统

入侵检测系统 （IDS） 除了检测并警告管理员任何异常网络活动外，什么都不做，而入侵防御系统 （IPS） 则实时工作并自动阻止恶意流量。

虽然 IDS 提供警报但无法解决问题，但 IPS 采取积极主动的姿态来缓解安全漏洞。
是 IDS 还是 IPS，或者两者兼而有之，是风险承受能力、预算和立即威胁响应需求的一个因素。这些系统是全面网络安全计划的补充作用。

IPS 可以防止外部入侵者。但是，您组织内的人员也可能采取损害您安全的步骤。IPS 也可以防止这些行为，因此它可以帮助培训您的员工了解什么是允许的，什么是不允许的。

IPS 有四种主要类型：

网络： 分析和保护网络上的流量。
无线电： 观察无线网络中发生的任何事情，并抵御从那里发起的攻击。
网络行为： 发现涉及网络上异常流量的攻击。
基于主机： 扫描在您指定的主机内发生的事件。
大多数管理员直接在防火墙后面安装 IPS。但很明显，您可以设置不同的配置，以非常自定义的方式保护您公司的资产。

IPS 可监控您的网络是否存在可疑活动或正在进行的攻击。当发现异常时，您会收到警报。但在此期间，系统开始行动起来。它可能会：

关闭会话。 它可以识别异常活动的入口点并阻止其继续。这可能意味着终止 TCP 会话、阻止 IP 地址或执行一些类似的步骤。
加强防火墙。 系统可能会识别防火墙中允许攻击进入的漏洞。程序的更改可以防止将来发生类似的事情。
清理。 系统可以扫描服务器中损坏或恶意的内容并将其删除。
IPS 实时工作，该技术检查通过受保护空间移动的每个数据包。它可以采取快速而重大的行动来应对攻击，虽然这可以保护您，但这些系统可能会引发误报。发生这种情况时，流量可能会无缘无故地减慢。

在攻击和清理结束时，您会收到一份报告，说明出了什么问题以及系统采取了哪些措施来修复它。您可以使用此数据来帮助您增强系统以抵御未来的攻击。如果您觉得它们不值得，您可以回顾系统所做的保护并撤消它们。

4 小结

IDS vs. IPS：差异与相似之处
您应该选择 IDS 还是 IPS？让我们看看它们的相似之处以及它们的区别。

IDS 是被动的，因为它可以识别威胁并发出警报而不会阻止它们，而 IPS 则非常主动，因为它可以实时阻止恶意流量。

这两个系统都可以：

监控。 设置后，这些程序可以查看您指定参数内的流量，并且它们将一直工作，直到您将其关闭。
警报。 这两个程序都会在发现问题时向您指定的人员发送通知。
学习。 两者都可以使用机器学习来了解模式和新出现的威胁。
日志。 两者都会保留攻击和响应的记录，因此您可以相应地调整您的保护措施。

不同之处：

响应。 IDS 是被动的，而 IPS 是主动控制系统。您必须在 IDS 提醒您后采取措施，因为您的系统仍然受到攻击。
保护。 可以说，当您受到威胁时，IDS 提供的帮助较少。您必须弄清楚该做什么、何时做以及如何收拾烂摊子。IPS 为您完成所有这些工作。
误报。 如果 IDS 向您发出警报，告诉您一些根本不麻烦的事情，那么您是唯一一个感到不便的人。如果 IPS 关闭流量，许多人可能会受到影响。
浏览这些列表，您可能会立即了解哪个系统最适合您。例如，如果您的公司由于技术错误而无法处理中断，那么 IDS 可能是最好的选择。但是，如果您无法忍受哪怕一秒钟的攻击而不丢失商业机密或声誉，那么 IPS 可能会更好。

响应。 IDS 是被动的，而 IPS 是主动控制系统。您必须在 IDS 提醒您后采取措施，因为您的系统仍然受到攻击。
保护。 可以说，当您受到威胁时，IDS 提供的帮助较少。您必须弄清楚该做什么、何时做以及如何收拾烂摊子。IPS 为您完成所有这些工作。
误报。 如果 IDS 向您发出警报，告诉您一些根本不麻烦的事情，那么您是唯一一个感到不便的人。如果 IPS 关闭流量，许多人可能会受到影响。
浏览这些列表，您可能会立即了解哪个系统最适合您。例如，如果您的公司由于技术错误而无法处理中断，那么 IDS 可能是最好的选择。但是，如果您无法忍受哪怕一秒钟的攻击而不丢失商业机密或声誉，那么 IPS 可能会更好。

IDS和IPS协同工作
许多公司通过部署这两种解决方案来保护他们的资产和服务器，从而避免了 IDS 与 IPS 的问题。

但是，IPS 可以阻止部分威胁并防范已知的实体，但必须注意，IPS 无法一直捕获零日威胁和高级威胁。

选择这样的选项，您可以使用 IPS 来实现主动网络安全，而 IDS 可以让您深入了解流量如何在您的网络中移动。

像这样的解决方案为您提供了可以构建的信息，以确保您的整个系统安全。但你也可以避免让攻击不受控制。