2021 年 7 大最佳入侵防禦系統 (IPS)

每個人都想讓入侵者遠離他們的房子。同樣——出於類似的原因，網絡管理員努力讓入侵者遠離他們管理的網絡。當今許多組織最重要的資產之一是他們的數據。這非常重要，以至於許多懷有惡意的人會不遺餘力地竊取這些數據。他們通過使用大量技術來獲得對網絡和系統的未經授權的訪問來做到這一點。此類攻擊的數量最近似乎呈指數增長，作為反應，正在建立系統來防止它們。這些系統稱為入侵防禦系統或 IPS。今天，我們來看看我們能找到的最好的入侵防禦系統。

我們將首先嘗試更好地定義什麼是入侵防禦。當然，這意味著我們還將定義什麼是入侵。然後，我們將探討通常使用的不同檢測方法以及在檢測時採取哪些補救措施。然後，我們將簡要討論被動入侵防禦。它們是可以實施的靜態措施，可以大大減少入侵嘗試的數量。您可能會驚訝地發現其中一些與計算機無關。只有這樣，我們所有人都在同一個頁面上，我們才能最終審查我們能找到的一些最好的入侵防禦系統。

入侵防禦——這到底是怎麼回事？

多年前，病毒幾乎是系統管理員唯一關心的問題。病毒已經到瞭如此普遍的地步，以至於業界通過開發病毒防護工具來做出反應。今天，頭腦正常的認真用戶不會想到運行沒有病毒保護的計算機。雖然我們不再聽到很多病毒的消息，但入侵（或惡意用戶未經授權訪問您的數據）是新的威脅。由於數據通常是組織最重要的資產，企業網絡已成為惡意黑客的目標，他們會不遺餘力地訪問數據。就像病毒防護軟件是應對病毒擴散的解決方案一樣，入侵防禦系統是應對入侵者攻擊的解決方案。

入侵防禦系統本質上做兩件事。首先，他們檢測入侵企圖，當他們檢測到任何可疑活動時，他們會使用不同的方法來阻止或阻止它。有兩種不同的方法可以檢測入侵企圖。基於簽名的檢測通過分析網絡流量和數據並尋找與入侵嘗試相關的特定模式來工作。這類似於依賴病毒定義的傳統病毒保護系統。基於簽名的入侵檢測依賴於入侵簽名或模式。這種檢測方法的主要缺點是它需要將正確的簽名加載到軟件中。而當出現一種新的攻擊方法時，通常在更新攻擊簽名之前會有一個延遲。一些供應商在提供更新的攻擊簽名方面非常快，而其他供應商則慢得多。簽名更新的頻率和速度是選擇供應商時要考慮的重要因素。

基於異常的檢測可以更好地防止零日攻擊，這些攻擊發生在檢測簽名有機會更新之前。該過程尋找異常，而不是試圖識別已知的入侵模式。例如，如果有人連續多次嘗試使用錯誤的密碼訪問系統，就會觸發它，這是暴力攻擊的常見跡象。這只是一個例子，通常有數百種不同的可疑活動可以觸發這些系統。這兩種檢測方法各有優缺點。最好的工具是那些結合使用簽名和行為分析以獲得最佳保護的工具。

檢測入侵企圖是阻止它們的第一部分。一旦檢測到，入侵防禦系統就會主動停止檢測到的活動。這些系統可以採取幾種不同的補救措施。例如，他們可以暫停或以其他方式停用用戶帳戶。另一個典型的操作是阻止攻擊的源 IP 地址或修改防火牆規則。如果惡意活動來自特定進程，則預防系統可能會終止該進程。啟動一些保護過程是另一種常見的反應，在最壞的情況下，可以關閉整個系統以限制潛在的損壞。入侵防禦系統的另一項重要任務是向管理員發出警報、記錄事件並報告可疑活動。

被動入侵防禦措施

雖然入侵防禦系統可以保護您免受多種類型的攻擊，但沒有什麼比好的、老式的被動入侵防禦措施更好的了。例如，強制使用強密碼是防止許多入侵的極好方法。另一種簡單的保護措施是更改設備默認密碼。雖然它在公司網絡中不那麼頻繁——儘管它並非聞所未聞——但我經常看到仍然具有默認管理員密碼的 Internet 網關。就密碼而言，密碼老化是另一個具體的步驟，可以用來減少入侵嘗試。只要有足夠的時間，任何密碼，即使是最好的密碼，最終都可能被破解。密碼時效可確保密碼在被破解之前會被更改。

只有一些例子可以說明可以採取哪些措施來被動地防止入侵。我們可以寫一整篇關於可以採取哪些被動措施的文章，但這不是我們今天的目標。相反，我們的目標是展示一些最好的主動入侵防禦系統。

最好的入侵防禦系統

我們的列表包含可用於防止入侵企圖的各種工具的混合。所包含的大多數工具都是真正的入侵防禦系統，但我們也包含了一些工具，這些工具雖然沒有以這種方式銷售，但可用於防止入侵。我們的第一個條目就是一個這樣的例子。請記住，最重要的是，您選擇使用哪種工具時應以您的具體需求為指導。那麼，讓我們看看我們的每個頂級工具都提供了什麼。

1. SolarWinds 日誌和事件管理器（免費試用）

SolarWinds 是網絡管理領域的知名名稱。它在製作一些最好的網絡和系統管理工具方面享有盛譽。其旗艦產品 Network Performance Monitor 一直在可用的頂級網絡帶寬監控工具中得分。SolarWinds 還以其眾多免費工具而聞名，每個工具都滿足網絡管理員的特定需求。Kiwi Syslog 服務器或 SolarWinds TFTP 服務器是這些免費工具的兩個很好的例子。

不要讓SolarWinds Log & Event Manager的名字欺騙了您。它遠比我們所看到的要多得多。該產品的一些高級功能使其成為入侵檢測和預防系統，而其他產品則將其置於安全信息和事件管理 (SIEM) 範圍內。例如，該工具具有實時事件關聯和實時修復功能。

• 免費試用：SolarWinds 日誌和事件管理器
• 官方下載鏈接：https://www.solarwinds.com/log-event-manager-software/registration

的SolarWinds的日誌與事件管理器擁有可疑活動的瞬時檢測（入侵檢測功能）和自動響應（入侵防禦功能性）。此工具還可用於執行安全事件調查和取證。它可用於緩解和合規目的。該工具具有經審計證明的報告，也可用於證明符合各種監管框架，如 HIPAA、PCI-DSS 和 SOX。該工具還具有文件完整性監控和 USB 設備監控功能。該軟件的所有高級功能使其更像是一個集成的安全平台，而不僅僅是其名稱會讓您相信的日誌和事件管理系統。

SolarWinds Log & Event Manager的入侵防禦功能通過在檢測到威脅時實施稱為主動響應的操作來工作。不同的響應可以鏈接到特定的警報。例如，系統可以寫入防火牆表以阻止已被識別為執行可疑活動的源 IP 地址的網絡訪問。該工具還可以暫停用戶帳戶、停止或啟動進程以及關閉系統。您會記得這些正是我們之前確定的補救措施。

SolarWinds Log & Event Manager 的定價因受監控節點的數量而異。最多 30 個受監控節點的起價為 4,585 美元，最多可購買 2500 個節點的許可證，從而使產品具有高度的可擴展性。如果您想試用該產品並親眼看看它是否適合您，可以免費試用 30 天的全功能。

2. Splunk

Splunk可能是最受歡迎的入侵防禦系統之一。它有幾個不同的版本，具有不同的功能集。Splunk的企業安全-or Splunk的ES，因為它通常被稱為，是你所需要的真正的入侵防護。該軟件實時監控您的系統數據，尋找漏洞和異常活動的跡象。

安全響應是該產品的強項之一，也是其成為入侵防禦系統的原因。它使用供應商所謂的自適應響應框架 (ARF)。它與來自超過 55 家安全供應商的設備集成，可以執行自動響應，加快手動任務。這種自動修復和手動干預的組合可以為您提供快速佔上風的最佳機會。該工具具有簡單整潔的用戶界面，是一個成功的解決方案。其他有趣的保護功能包括“顯著”功能，它顯示用戶可自定義的警報和“資產調查器”，用於標記惡意活動並防止進一步的問題。

Splunk Enterprise Security的定價信息不容易獲得。您需要聯繫 Splunk 的銷售人員以獲取詳細報價。這是一款很棒的產品，可以免費試用。

3. 薩根

Sagan基本上是一個免費的入侵檢測系統。但是，具有腳本執行功能的工具可以將其置於入侵防禦系統類別中。Sagan通過監控日誌文件來檢測入侵企圖。您還可以將Sagan與 Snort結合使用，後者可以將其輸出提供給Sagan，從而為該工具提供一些基於網絡的入侵檢測功能。事實上，Sagan可以從許多其他工具（例如 Bro 或 Suricata）接收輸入，結合多種工具的功能以提供最佳保護。

不過，Sagan的腳本執行能力有一個問題。您必須編寫修復腳本。儘管此工具可能不是您抵禦入侵的唯一防禦措施，但它可能是系統的關鍵組件，該系統通過關聯來自不同來源的事件來整合多種工具，從而為您提供眾多產品中的最佳產品。

雖然Sagan只能安裝在 Linux、Unix 和 Mac OS 上，但它可以連接到 Windows 系統來獲取它們的事件。Sagan 的其他有趣功能包括 IP 地址位置跟踪和分佈式處理。

4. OSSEC

開源安全（OSSEC）是領先的基於主機的開源入侵檢測系統之一。我們將它列入我們的名單有兩個原因。它的受歡迎程度使我們不得不將其包含在內，特別是考慮到該工具允許您指定在觸發特定警報時自動執行的操作，從而為其提供一些入侵防禦功能。OSSEC歸趨勢科技所有，趨勢科技是 IT 安全領域的領先品牌之一，也是最好的病毒防護套件之一的製造商。

當安裝在類 Unix 操作系統上時，該軟件的檢測引擎主要關注日誌和配置文件。它會創建重要文件的校驗和並定期驗證它們，在發生奇怪的事情時提醒您或觸發補救措施。它還將監視和警告獲取 root 訪問權限的任何異常嘗試。在 Windows 上，系統還會留意未經授權的註冊表修改，因為它們可能是惡意活動的跡象。任何檢測都會觸發警報，該警報將顯示在中央控制台上，同時也會通過電子郵件發送通知。

OSSEC是一種基於主機的入侵保護系統。因此，它需要安裝在您要保護的每台計算機上。但是，中央控制台確實整合了來自每台受保護計算機的信息，以便於管理。該OSSEC控制台只能運行在類Unix操作系統，但代理人可用於保護Windows主機。或者，其他工具（例如 Kibana 或 Graylog）可以用作工具的前端。

5. 打開 WIPS-NG

我們不太確定是否應該將Open WIPS NG包括在我們的列表中。稍後會詳細介紹。它之所以成功，主要是因為它是唯一專門針對無線網絡的產品之一。打開 WIPS NG- WIPS 代表無線入侵防禦系統 - 是一種開源工具，由三個主要組件組成。首先是傳感器。這是一個愚蠢的過程，它只是簡單地捕獲無線流量並將其發送到服務器進行分析。您可能已經猜到了，下一個組件是服務器。它聚合來自所有傳感器的數據，分析收集的數據並響應攻擊。該組件是系統的核心。最後但並非最不重要的是界面組件，它是用於管理服務器和顯示有關在無線網絡上發現的威脅的信息的 GUI。

我們在將Open WIPS NG列入我們的列表之前猶豫不決的主要原因是，儘管如此，但並不是每個人都喜歡該產品的開發人員。它與 Aircrack NG 來自同一開發商，是一款無線數據包嗅探器和密碼破解器，是每個 WiFi 黑客工具包的一部分。這引發了關於開發人員道德的爭論，並讓一些用戶保持警惕。另一方面，開發人員的背景可以被視為他對 Wi-Fi 安全性的深入了解的證明。

6.Fail2Ban

Fail2Ban是一種相對流行的免費主機入侵檢測系統，具有入侵防禦功能。該軟件的工作原理是監控系統日誌文件中是否存在可疑事件，例如登錄嘗試失敗或漏洞利用搜索。當系統檢測到可疑情況時，它會通過自動更新本地防火牆規則來阻止惡意行為的源 IP 地址做出反應。當然，這意味著某些防火牆進程正在本地計算機上運行。這是該工具的主要缺點。但是，可以配置任何其他任意操作，例如執行一些補救腳本或發送電子郵件通知。

Fail2Ban提供了幾個稱為過濾器的預構建檢測觸發器，涵蓋了一些最常見的服務，例如 Apache、Courrier、SSH、FTP、Postfix 等等。正如我們所說，修復操作是通過修改主機的防火牆表來完成的。Fail2Ban支持 Netfilter、IPtables 或 TCP Wrapper 的 hosts.deny 表。每個過濾器都可以與一個或多個操作相關聯。過濾器和動作一起被稱為監獄。

7. 兄弟網絡安全監視器

該兄弟網絡安全監控是另一個免費的網絡入侵檢測系統與IPS一樣的功能。它分兩個階段工作，首先記錄流量，然後對其進行分析。該工具在直到應用層的多個層上運行，可以更好地檢測分裂入侵企圖。產品的分析模塊由兩個元素組成。第一個元素稱為事件引擎，其目的是跟踪觸發事件，例如 TCP 連接或 HTTP 請求。然後由策略腳本（第二個元素）分析事件。策略腳本的工作是決定是觸發警報、啟動操作還是忽略事件。有可能啟動一個動作，為Bro Network Security Monitor 提供其 IPS 功能。

該兄弟網絡安全監控有一定的局限性。它只會跟踪 HTTP、DNS 和 FTP 活動，還會監視 SNMP 流量。不過，這是一件好事，因為 SNMP 儘管存在嚴重的安全缺陷，但仍經常用於網絡監控。SNMP 幾乎沒有任何內置安全性並使用未加密的流量。由於該協議可用於修改配置，因此很容易被惡意用戶利用。該產品還將密切關注設備配置更改和 SNMP 陷阱。它可以安裝在 Unix、Linux 和 OS X 上，但不適用於 Windows，這可能是它的主要缺點。否則，這是一個非常有趣的工具，非常值得一試。