1. 什么是IDS?
IDS全称是:intrusion detection systems 的缩写,又称“入侵检测系统”。
对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
2. IDS和防火墙有什么不同?
首先防火墙针对的是非授权的流量进行过滤,而IDS则是针对通过了防火墙的流量进行检测(防火墙是一种被动的防御, IDS则是在主动出击寻找潜在的攻击者;)
防火墙主要进行控制(意在保护),而IDS只对于检测到的入侵行为进行告警(意在告知)
防火墙可以允许内部一些主机被外网访问,而IDS没有这些功能,IDS只负责检测
3. IDS工作原理?
4. IDS的主要检测方法有哪些详细说明?
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
5. IDS的部署方式有哪些?
直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。 也可以使用集线器、分光器实现流量复制。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
二、恶意软件和代码
1. 什么是恶意软件?
恶意软件是旨在恶意破坏网络、计算机、服务器、客户端的正常运行或对其造成损害的软件的统称
2. 恶意代码有哪些特征?
下载特征
后门特征
信息收集特性
自身隐藏特性
文件感染特性
网络攻击特性
3. 恶意软件的可分为那几类?
按照传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏