今天的企业依赖于技术的一切，从在服务器上托管应用程序到通信。随着技术的发展，网络犯罪分子可以利用的攻击面也在扩大。2021年Check Point的一项研究报告称，与2020年相比，2021年每周针对企业网络的攻击增加了50%。因此，所有垂直行业和规模的组织都在加强其安全态势，旨在保护其数字基础设施的每一层免受网络攻击。

防火墙是防止不需要的和可疑的流量流入系统的首选解决方案。人们很容易认为防火墙是100%万无一失的，没有恶意流量可以渗入网络。然而，网络犯罪分子正在不断发展他们的技术，以绕过所有安全措施。这时入侵检测和防御系统就可以派上用场了。防火墙管理进入的内容，而IDPS管理流经系统的内容。它通常位于防火墙后面，协同工作。

入侵检测和防御系统就像机场的行李和安全检查一样。进入机场需要机票或登机牌，一旦进入机场，在必要的安全检查完成之前，乘客不允许登机。类似地，入侵检测系统(IDS)只监视和警报不良流量或策略违反。它是入侵防御系统(IPS)的前身，也被称为入侵检测和防御系统。除了监控和警报之外，IPS还可以通过自动操作程序防止可能发生的事件。

保护技术基础设施和敏感数据:没有系统可以存在于孤岛中，特别是在当前数据驱动的业务时代。数据在网络中不断流动，因此攻击或访问系统的最简单方法是隐藏在实际数据中。系统的IDS部分是反应性的，提醒安全专家注意此类可能的事件。系统的IPS部分是主动的，允许安全团队减轻这些可能造成财务和声誉损害的攻击。

检查现有的用户和安全策略:每个安全驱动的组织都有自己的一组用户策略和与访问相关的策略，用于其应用程序和系统。这些策略通过仅向少数受信任的用户组和系统提供对关键资源的访问，大大减少了攻击面。入侵检测和防御系统的持续监控可确保管理员立即发现这些策略框架中的任何漏洞。它还允许管理员调整策略以测试最大的安全性和效率。

收集有关网络资源的信息:IDS-IPS还使安全团队能够鸟瞰流经其网络的流量。这有助于他们跟踪网络资源，允许他们在流量过载或服务器使用不足的情况下修改系统。

帮助满足合规性法规:所有企业，无论垂直行业，都在不断加强监管，以确保消费者数据隐私和安全。通常，实现这些任务的第一步是部署入侵检测和防御系统。

IDPS的工作原理是扫描进程中的有害模式、比较系统文件、监视用户行为和系统模式。IPS通过web应用防火墙和流量过滤解决方案实现事件防护。

境内流离失所者的种类

组织可以考虑基于他们正在寻找的部署类型实现四种类型的入侵检测和防御系统。

基于网络的入侵防御系统(NIPS):基于网络的入侵防御系统对整个网络或网段的恶意流量进行监控。这通常通过分析协议活动来完成。如果协议活动与已知攻击的数据库相匹配，则不允许通过相应的信息。NIPS通常部署在网络边界，位于防火墙、路由器和远程访问服务器的后面。

无线入侵防御系统(Wireless intrusion prevention system, WIPS):无线入侵防御系统通过分析无线网络的具体协议，对无线网络进行监控。虽然WIPS在组织的无线网络范围内很有价值，但这些系统不分析传输控制协议(TCP)等高级网络协议。无线入侵防御系统部署在无线网络内和易受未经授权的无线网络影响的区域。

网络行为分析(NBA)系统:NIPS分析协议活动中的偏差，而网络行为分析系统通过检查异常流量模式来识别威胁。这种模式通常是策略违反、恶意软件生成的攻击或分布式拒绝服务(DDoS)攻击的结果。NBA系统部署在组织的内部网络中，以及内部和外部网络之间的流量流动点。

基于主机的入侵防御系统(HIPS):基于主机的入侵防御系统与其他入侵防御系统的不同之处在于它们部署在单个主机上。这些主机是包含重要数据的关键服务器，或者可以成为内部系统网关的可公开访问的服务器。HIPS通过监视正在运行的进程、网络活动、系统日志、应用程序活动和配置更改来监视进出该特定主机的流量。

一个组织所需的国内流离失所者系统类型取决于其现有的基础设施以及未来如何扩大规模的计划。入侵检测和防御解决方案所使用的技术也是一个重要的考虑因素。

让我们总结一下入侵检测和防御系统的类型。