文章目录
O、知识框架
一、入侵检测系统与防火墙
防火墙:传统的防火墙是一种被动的静态防御技术
防火墙不能防止通向站点的后门
防火墙一般不提供对内部的保护
防火墙无法防范数据驱动型的攻击
防火墙不能病毒感染
入侵检测系统(IDS):IDS是实时响应的动态防御技术,是对防火墙的有效补充
理解:IDS==实时监控
入侵检测:能够捕获并记录网络上的所有数据,分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内容的实质。此外,它还能够对入侵行为自动地进行响应: 报警、阻断连接、关闭道路(与防火墙联动)
理解:IDS——数据采集、分析检测、响应
二、入侵检测系统分类
1、基于主机的入侵检测系统(HIDS)
监测资源: 文件、进程、系统日志、注册表等
实现方式:通过主机代理(一个小的可执行程序,与控制台通信)
2、基于网络的入侵检测系统(NIDS) ⭐
监测资源:网络上的通信数据
实现方式:往往将一台机器(网络传感器)的一个网卡设于混杂模式,监听本网段内的所有数据包
三、入侵检测技术⭐⭐
误用检测 | 异常检测 |
---|---|
基于**知识(特征)**的检测 | 基于行为的检测 |
建立误用模式特征库,相同为误用 | 总结正常操作模型,不同为异常 |
误低,漏高 | 漏低,误高 |
只能检测已知的攻击 | 还能检测未知的攻击 |
四、入侵检测系统的部署⭐⭐⭐
思考题:入侵检测系统和屏蔽子网防火墙的部署
个人答案仅供参考:
(1)2号防火墙,3号交换机。
(2)NIDS部署
①※4号设备处Switch,对于已通过系统防护的攻击者进行检测,也可以对内部设备间的异常行为进行检测;
②三号设备Switch处,在非军事区放置入侵检测系统,攻击者往往会对隔离区提供的服务进行攻击,因此在此处检测.