這些網絡犯罪分子利用這種聯系對企業發動了前所未有的攻擊。當互聯網剛開始流行時,企業開始意識到應該使用防火墻來防止對它們的攻擊。防火墻通過阻止未使用的TCP和UDP端口來工作。雖然防火墻在阻止某些端口方面很有效,但有些端口對HTTP、SMTP和POP3通信很有用。為了保證這些服務的正常運行,這些常用服務的相應端口必須保持開放。問題是,黑客已經學會了如何讓惡意通信通過這些通常開放的端口。
為了應對這種威脅,壹些公司開始應用入侵檢測系統(IDS)。IDS的想法是監控通過防火墻的所有流量,並尋找潛在的惡意流量。這個想法在理論上是很好的,但是在實踐中,由於壹些原因,IDS系統並沒有很好地工作。
早期的IDS系統通過尋找任何異常通信來工作。當檢測到異常通信時,此操作將被記錄下來,並向管理員發出警報。這個過程問題很少。首先,發現不正常的交流方式會產生許多錯誤的報告。壹段時間後,管理員會厭倦接收太多的假警報,從而完全忽略IDS系統的警告。
在過去的幾年中,IDS系統取得了很大的進步。目前IDS系統的工作模式更像是壹個殺毒軟件。IDS系統包含壹個名為攻擊特征的數據庫。該系統不斷地將傳入的通信與數據庫中的信息進行比較。如果檢測到攻擊,IDS系統將報告該攻擊。
新的IDS系統比以前的系統更精確。然而,這個數據庫需要不斷更新,以保持有效。此外,如果發生攻擊,而數據庫中沒有匹配的簽名,則攻擊可能會被忽略。即使這種攻擊被檢測到並被證明是壹種攻擊,IDS系統除了警告管理員並記錄這種攻擊之外,沒有任何權力做任何事情。
這就是入侵防禦系統(IPS)的任務。IPS類似於IDS,但IPS在設計上解決了IDS的壹些缺陷。
首先,IPS位於防火墻和網絡設備之間。這樣,如果檢測到攻擊,IPS將在惡意通信擴散到網絡的其他部分之前阻止它。相比之下,IDS只存在於妳的網絡之外,起著報警的作用,而不是作為妳網絡前面的防禦。
IPS檢測攻擊的方式與IDS不同。目前有很多IPS系統,都采用了不同的技術。然而,壹般來說,IPS系統依賴於對數據包的檢測。IPS將檢查進入網絡的數據包,確定此類數據包的真實目的,然後決定是否允許此類數據包進入您的網絡。
如您所見,IDS和IPS系統之間有壹些重要的區別。