什么是入侵检测与防护系统（IDPS）？

入侵检测和防护系统（IDPS）是一种可以监控网络中的威胁，然后采取行动来阻止检测到的威胁解决方案。

IDPS 与入侵检测系统（IDS）密切相关。尽管这两种系统都能检测威胁并发送相关警报，但 IDPS 还会额外尝试化解这些威胁。

IDPS 有时也称为入侵防护系统（IPS）。IDPS 和 IPS 这两个术语大多时候可以互换使用，人们提到 IPS 时，通常指的就是 IDPS 的威胁搜寻功能。

IDPS 有多种不同的工作方式，具体取决于供应商、所选的部署方法以及企业的需求。

IDPS 的类型

基于网络的 IDPS

基于网络的 IDPS（NIPS）是一种安装在网络内特定点上的 IDPS，可用来监控该网络的所有流量并搜寻其中的威胁。为此，NIPS 通常会通过分析网络上的活动并将其与安全专家手动配置的已知攻击数据库进行比对来执行任务。如果活动与数据库中的已知威胁相匹配，它会采取阻止措施，不允许该活动继续在网络中传播或执行。NIPS 通常部署在网络的边界，例如路由器或调制解调器中、防火墙后方，以及网络远程接入点上等。

NIPS 有两种类别：

• 无线入侵防护系统（WIPS）可以分析网络的无线电频率来监测无线网络是否存在非法接入点和不明设备。WIPS 部署在无线网络中，以及易受未经授权无线接入影响的位置上。
• 网络行为分析（NBA）系统可以检查网络流量是否存在异常活动模式。例如，发生分布式拒绝服务攻击（DDOS）时，成千上万的请求会发送到网络以使其不堪重负。这些请求单个来看可能看似有效，但聚在一起就会引发问题。NBA 系统通常会在企业内部网络中引入其他系统，增强标准 NIPS 的防御能力。

基于主机的 IDPS

基于主机的 IDPS（HIPS）部署在单个主机上，通常是具有重要数据的关键服务器，或者是充当企业内部网络的网关的公共服务器。HIPS 专门用于监控其主机系统上的流量。HIPS 通常设置为检测主机操作系统活动和互联网协议套件（TCP/IP）活动。

检测方法

一旦部署就位，IDPS 就会使用各种技术来识别威胁。这些技术大致分为三类：

• 基于特征的威胁检测：将监控的活动与一个包含先前识别出的威胁特征（一种独特的模式或标识符）的数据库进行比对。这种方法在检测已知威胁方面表现很好，但无法有效检测新的威胁。
• 基于异常的威胁检测：将网络活动随机选择与网络活动基线标准进行比对。如果随机选择与基线标准有足够大的差异，那么这个威胁就会触发行动。这种检测方法能够捕获新的威胁，但也会出现比基于特征的威胁检测更多的误报。在 IDPS 中，基于异常的威胁检测最受益于人工智能和机器学习算法的进步，增强程度最多。
• 基于协议（或基于策略）的威胁检测：与基于特征的威胁检测相似，但使用的是由企业定义的特定协议数据库，可以阻止违反这些协议的任何活动。协议必须由安全专家手动配置。

预防措施

一旦 IDPS 检测到感知的威胁，它可以采取多种措施，具体取决于 IDPS 的设置和检测到的威胁类型。针对攻击的常见预防措施包括：

• 提醒管理员。在这种最基础的响应类型中，IDPS 会像入侵检测系统一样提醒人类安全管理员。当自动操作可能不合适时，或者当系统不确定是否存在误报时，就会创建这样的警报。
• 实施驱逐警戒。 当 IDPS 采取这一行动时，它会通过拦截流量或标记来自威胁 IP 地址的用户，在事件发生之前将其阻止。一个常见的例子是阻止密码输入失败次数太多的 IP 地址。
• 更改安全环境。 与驱逐警戒类似，这项技术可让 IDPS 更改网络的安全设置，以防止威胁获得访问权限。比如重新配置防火墙就是这种响应。
• 修改攻击内容。 这种技术涉及自动改变攻击的内容。例如，在标记了可疑电子邮件后，IDPS 可以删除电子邮件中可能包含对网络存在恶意的内容的任何部分，如电子邮件附件。

IDPS 对于您的企业安全团队和更广泛的组织来说都是一个非常有用的工具。IDPS 可以帮助您：

• 扫描活动并应对威胁，无需人工干预。 尽管复杂的威胁通常需要人工干预，但 IDPS 能够对较简单的威胁做出有条不紊的快速反应，并可更快地标记复杂的威胁以便进行人工干预。这样，安全团队可以在威胁造成破坏之前做出响应，并且能够处理与日俱增的威胁。
• 找到可能漏网的威胁。 IDPS 可以标记人类安全专家可能遗漏的威胁，尤其是采用基于异常的检测时。
• 持续执行用户和安全防护策略。 IDPS 使用一套预先定义的规则，因此能够以一致的方式应用威胁检测。
• 满足合规要求。 使用 IDPS 意味着可以减少必须与私密数据交互的人员，而这正是许多行业的监管要求。

红帽® Ansible® 自动化平台使用 Playbook、本地目录服务、整合日志和外部应用来实现安全防护解决方案自动化，使 IT 安全团队能够协调一致地应对威胁。

安全团队可以使用 Ansible 自动化平台来编排多种不同的企业安全解决方案，包括企业防火墙、安全信息和事件管理（SIEM）系统、IDPS 和特权访问管理（PAM）解决方案，并将这些不同的工具整合成一个统一的安全设备。

为什么要将 Ansible 自动化平台与 IDS 或 IDPS 搭配使用？

Ansible 自动化平台可充当一个中心枢纽来集成各种安全防护技术，帮助企业对其安全防护解决方案进行自动化改造。使用 Ansible Playbook 后，一个安全防护工具的输出可以被另一个工具自动读取。多种安全防护工具能够彼此通信，是威胁搜寻功能的一个核心要素，而威胁搜寻正是 IDPS 的一项核心功能。通过使用 Ansible 自动化平台，企业能够：

• 以动态和灵活的方式部署新的 IDPS 规则，然后在新 IDPS 规则及其附带的 SIEM 之间进行自动配置。
• 协助威胁特征管理，允许使用来自安全公告的特征进行自动更新并与 IDPS 集成。
• 在 SIEM 系统内部关联搜索和事件自动化。这使得分析人员能够根据在其他安全设备上执行的操作或更改来生成新的警报。

Ansible 自动化平台可以将安全防护解决方案连接到企业的其他基础架构和网络。这意味着，您可以利用一套精选的模块、角色和 Playbook 来自动化和集成不同的安全防护解决方案，以统一协调的方式应对整个企业的威胁。

由红帽和我们合作伙伴认证的可信赖认证内容集还可助您的团队简化自动化过程。红帽 Ansible 自动化平台提供了数百个模块，供用户用于全方位自动化 IT 环境和管理流程，协助安全团队协同工作，更好地保护复杂的安全边界。