IDS-入侵检测系统

目录：1. 什么是IDS？

2. IDS和防火墙有什么不同？

3. IDS工作原理？

4. IDS的主要检测方法有哪些详细说明？

5. IDS的部署方式有哪些？

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

一. 什么是IDS？
IDS（入侵检测系统）：长时间的监测

识别入侵者 ---->识别入侵行为------>检测和监视已成功的入侵------>为对抗入侵提供信息与依据，防止事态扩大

作用：对系统的运行状态进行监视，发现各种企图、过程、结果，来保证系统资源的安全（完整性、机密性、可用性）;是一个软件与硬件的组合系统。

异常：当某个时间与一个已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。

特征：IDS核心是特征库（签名）

二. IDS和防火墙有什么不同？
1、防火墙是针对黑客攻击的一种被动的防御，旨在保护；
IDS则是主动出击寻找潜在的攻击者，发现入侵行为。

2.防火墙是设置在**保护网络（本地网络）和外部网络（主要是Internet）**之间的一道防御系统。

3、防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，
IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补；

4、防火墙可以允许内部的一些主机被外部访问，
IDS则没有这些功能，只是监视和分析用户和系统活动。

三：IDS工作原理

 

  I DS：入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。

四：IDS的主要检测方法有哪些详细说明？
异常检测模型（Anomaly Detection)

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型（Misuse Detection）

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测。

五：IDS的部署方式有哪些？
共享模式和交换模式：从 HUB 上的任意一个接口，或者在交换机上做端口镜像的端口上收集信息。

隐蔽模式：在其他模式的基础上将探测器的探测口 IP 地址去除，使得 IDS 在对外界不可见的情况下正常工作。

Tap 模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网络中的所有流量，能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。

In-line 模式：直接将 IDS 串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击。

混合模式：通过监听所有连接到防火墙的网段，全面了解网络状况。

六：IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？
IDS的签名：入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用：

由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

签名过滤器的动作分为：

阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。
采用签名的缺省动作，实际动作以签名的缺省动作为准。 

例外签名配置作用： 就是为了就是用于更细致化的进行IPS流量的放行。

阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。

放行：对命中的报文方向=行，且不记录日志。