IDS它是入侵检测系统:它可以监控到恶意的请求流量和响应流量;它是被动检测的,它可以部署在旁路上(通过镜像流量口)
IPS它是入侵防御系统: 它可以发现恶意的请求流量并且有效的阻止;它是主动检测,所以它一般我们可以部署在干路上
IDS和IPS系统:
它们一般都是有开源的网络监控引擎封装而成的;例如:snort和suricata以及zeek等他们都是一些开源的网络监控引擎
suricata它的工作原理是怎么样的?
当我们将这个引擎安装在了系统中;并且采集了某个网卡接口的流量;这些流量就会和suricata中的规则进行匹配;一旦命中就会在日志系统进行展示;但是像这些开源的网络监控引擎它们的规则是很少进行维护的
如何将监控结果进行展示:
现在的IDS和IPS供应商都是有专门的团队进行维护和开发的;例如流量规则的研发;和一些其他功能的实现,以及监控日志的展示一般将该系统封装起来然后通过web界面进行管理和展示