1. 什么是IDS?
IDS是入侵检测系统(Intrusion Detection System)的缩写。它是一种防御网络入侵的安全设备或软件系统。IDS主要功能是通过监控网络通信或检查系统日志,来检测是否存在入侵活动或者试图入侵的行为。一旦检测到可疑活动,IDS可以向网络管理员报警,也可以直接采取一定的防御措施(如断开连接等)。
2. IDS和防火墙有什么不同?
首先防火墙针对的是非授权的流量进行过滤,而IDS则是针对通过了防火墙的流量进行检测(防火墙是一种被动的防御, IDS则是在主动出击寻找潜在的攻击者;)。
防火墙主要进行控制(意在保护),而IDS只对于检测到的入侵行为进行告警(意在告知)
防火墙可以允许内部一些主机被外网访问,而IDS没有这些功能,IDS只负责检测
3. IDS工作原理?
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4. IDS的主要检测方法有哪些详细说明?
IDS可以根据检测方式的不同分为两种主要模式:
1. 异常检测(Anomaly detection):建立系统或网络正常行为模型,检测与该模型偏离的异常行为,将其识别为入侵。这种模式可以检测未知攻击,但是误报率较高。常用技术有统计分析、神经网络、专家系统等。
2. 误用检测(Misuse detection):使用已知的攻击特征和模式进行匹配,检测已有攻击的变种或重新执行。这种模式检测准确度较高,但无法发现新的未知攻击。常用技术主要是各种模式匹配方法。两种模式各有优势和劣势,可以相互补充:
5. IDS的部署方式有哪些?
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文
所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单