IDS(入侵检测系统)是一种主动防御技术,通过监控网络流量和日志检测异常行为。它分为基于主机和基于网络的两种类型,主要检测方法包括异常检测和特征检测。IDS可以集中或分布式部署,并使用签名过滤器和例外签名来优化检测和响应策略。
什么是IDS
对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统
IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器
IDS和防火墙的不同
IDS(入侵检测系统)是一种主动防御技术,它通过监控网络流量、日志等信息来检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出警报
防火墙则是一种被动防御技术,它通过限制网络流量来保护网络安全,如限制端口、IP地址、协议等
IDS的工作原理
IDS(入侵检测系统)的工作原理是通过监控网络流量、日志等信息来检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出警报。
IDS可以分为两种类型:
- 基于主机的IDS和基于网络的IDS。基于主机的IDS是安装在主机上的软件,它可以监控主机上的进程、文件、注册表等信息,以便及时发现异常行为
- 基于网络的IDS则是安装在网络上的设备,它可以监控网络流量,以便及时发现异常行为。
IDS的主要检测方法
异常检测:当一个时间和已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
特征检测:IDS的核心是特征库(签名)
签名用来描述入侵行为的特征,通过比较行为特征和签名进行入侵检测
异常检测模型(白名单)
- 总结正常主机的行为活动特征(用户轮廓),用户行为与正常行为有着重大偏离时,则判定是入侵
误用检测模型(特征检测 — 黑名单)
- 总结非正常主机的行为活动特征,当用户行为或者系统行为符合特征时,判定时入侵行为
IDS的部署方式
IDS(入侵检测系统)的部署方式有两种:集中式和分布式
集中式部署方式是将IDS设备集中部署在网络的核心位置,通过监控网络流量、日志等信息来检测网络中的异常行为,并及时发出警报
分布式部署方式则是将IDS设备分散部署在网络的各个位置,通过监控网络流量、日志等信息来检测网络中的异常行为,并及时发出警报
IDS签名、签名过滤器、例外签名
签名:用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
签名过滤器作用:
签名过滤器 是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将 IPS 特征库中适用
于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于
筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过
滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名配置作用:
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文 所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单
扫一扫
744
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
