目录
一、入侵检测系统 —— IDS
入侵检测IDS是防火墙的第二道安全屏障。
入侵检测主要由探测器、分析器、响应单元和事件数据库组成。
1. 入侵检测系统的数据源
- 操作系统审计记录/操作系统日志
- 网络数据:核心交换机端口镜像,服务器接入交换机端口镜像
2. 入侵检测分类
- 按信息来源: HIDS、NIDS、DIDS(主机/网络/分布式)
- 按响应方式: 实时检测和非实时检测
- 按数据分析技术和处理方式: 异常检测、误用检测和混合检测。
- 误用检测: 专家系统和模式匹配
二、入侵防御系统 —— IPS
入侵防御系统是一种抢先的网络安全检测和防御系统,能检测出攻击并积极响应。
1.作用
- 不仅具有入侵检测系统检测攻击行为的能力,而且具有拦截攻击并阻断攻击的功能。
- 主动的全面深层次的防御
2.检测技术
- 基于特征的匹配技术
- 协议分析技术
- 抗DOS/DDOS
- 智能化检测技术
- 蜜罐技术
缺点:IPS串行部署,存在单点故障、性能瓶颈、漏报误报,还需保持特征库更新。