IDS入侵检测系统

最新推荐文章于 2024-01-02 18:24:02 发布

奈何一笑相离别

最新推荐文章于 2024-01-02 18:24:02 发布

阅读量426

点赞数 1

分类专栏：网络安全-防御文章标签：网络

本文链接：https://blog.csdn.net/MA463841740/article/details/129802071

版权

网络安全-防御专栏收录该内容

5 篇文章 0 订阅

订阅专栏

1.什么是IDS？

IDS是英文"Intrusion Detection Systems"的缩写，中文意思是"入侵检测系统"。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

入侵检测系统是为保障计算机系统的安全而设计的，它通过收集和分析网络行为、安全日志、等其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的和被攻击的迹象，它对系统中未授权用户的攻击、外部攻击和异常现象的操作有实时的保护作用，能在网络系统受到危害之前进行检测和拦截。在不影响网络性能的情况下能对网络时行监测，入侵检测是防火墙的合理补充，帮助系统对付网络攻击。扩展了系统管理员的安全管理能力。

2.IDS和防火墙有什么不同？

防火墙的主要功能：

1) 过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。

2) 控制对特殊站点的访问：防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分则被保护起来。

3) 作为网络安全的集中监视点：防火墙可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。

入侵检测系统的主要功能：

1) 监视、分析用户及系统活动

2) 对异常行为模式进行统计分析，发行入侵行为规律

3) 检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞

4) 能够实时对检测到的入侵行为进行响应

5) 评估系统关键资源和数据文件的完整性

6) 操作系统的审计跟踪管理，并识别用户违反安全策略的行为

IDS:IDS是Intrusion Detection System的缩写，即入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。无须网络流量流经它便可以工作。IDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。

防火墙:一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。具有这样功能的硬件或软件,就是防火墙。

3.IDS工作原理？

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模拟对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

4.IDS的主要检测方法有哪些详细说明？

异常检测：当某个事件与一个已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。

特征检测：IDS核心是特征库（签名）。签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为。

异常检测模型检测（Anomaly Detection）：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型检测（Misuse Detection）：收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）。

5.IDS的部署方式有哪些？

旁挂：需要在部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像到IDS旁挂口。
也可以使用集线器、分光器实现流量复制。

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IPS特征库中包含了针对各种攻击行为的海量签名信息，但是在实际网络环境中，业务类型可能比较简单，不需要使用所有的签名，大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。
签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用于当前业务的签名筛选到签名过滤器中，就可以重点关注这些签名的防御效果。通常情况下，对于筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过滤器中为这些签名统一设置新的动作，操作非常便捷。
签名过滤器的动作分为：
阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。
采用签名的缺省动作，实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

例外签名
由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。
例外签名的动作分为：
阻断：丢弃命中签名的报文并记录日志。
告警：对命中签名的报文放行，但记录日志。
放行：对命中签名的报文放行，且不记录日志。添加黑名单：是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单。