1 . 入侵检测系统简介
a. 入侵检测系统(IDS)一般是入侵检测的软件与硬件的组合。
b. 入侵检测是通过对计算机网络或计算机系统中的若干个关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
c. 入侵检测技术是防火墙技术的有效补充,一般是作为防火墙之后的第二道安全闸门。
2. 入侵检测系统的功能
a. 检测并分析用户和系统的活动
b. 核查系统配置和漏洞。
c. 评估系统关键资源和数据文件的完整性
d. 识别已知的攻击行为
e. 统计分析异常行为
f. 操作系统日志管理,并识别违反安全策略的用户活动。
3. 入侵检测系统的分类
a. 入侵检测系统分为主机型和网络型
b. 主机型入侵检测系统以系统日志,应用程序日志等作为数据源,或者其他手段从所在主机收集信息并进行分析。
c. 网络型入侵检测系统以网络上的数据包作为数据源。通常将一台主机的网卡设为混杂模式,监听所有本网段内的数据包并进行判断。一般保护范围是本网段。
4. 入侵检测系统的组成及部署
a. 入侵检测系统一般由事件产生器,事件分析器 和 响应单元 组成。
b. 事件产生器的位置异常重要,决定了“事件” 可见度。
c. 主机型IDS : 事件产生器位于所检测的主机
d. 网络型IDS : 事件产生器的位置可根据需求放置在交换机核心芯片的调试端口上,把入侵检测系统放在交换机内部或防火墙内部等数据流的关键出入口,采用分接器将其接在所要检测的线路上。