目录
IDS(intrusion detection system)入侵检测系统
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
1.什么是IDS
IDS(intrusion detection system)入侵检测系统
定义:对系统的运行状态进行监视,发现各种攻击企图、攻击行为和攻击结果,用于保证系统资源的安全(完整性、机密性、可用性),他是一个软件与硬件的组合系统
异常检测:当某个事件与一个已知的攻击特征(信号)相匹配时,一个基于 异常的IDS会记录一个正常主机活动的大致轮廓,当一个事件在 这个轮廓以外发生,就认为是异常,IDS就会告警
2.IDS和防火墙有什么不同
1.防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,
IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补
2.防火墙可以允许内部的一些主机被外部访问,
IDS则没有这些功能,只是监视和分析用户和系统活动
3.防火墙只能防御内网外部的攻击,但内网中存在的隐患防火墙检测不到
IDS的监视行为可以检测到内网中的安全隐患
3.IDS的工作原理
IDS会监视网络的流量,根据管理员的需求来过滤流量,如遇到隐患即实时报警。网络扫描器检测主机上先前设置的漏洞,而 IDS 监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
作用:识别入侵者
识别入侵行为
检测和监视已成功的入侵
为对抗入侵提供信息与依据,防止事态扩大
4. IDS的主要检测方法有哪些详细说明?
1.异常检测
当某个事件与一个 已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常 主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
2.特征检测(误用检测)
IDS核心是特征库(签名),签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
误用检测模型