1.什么是IDS?
通过旁路部署的方式从网络或计算机系统关键节点收集信息依据动态学习或知识库进行分析,从中发现网络或系统中是否存在可疑或异常事件。
2. IDS和防火墙有什么不同?
IDS:通过旁路部署的方式从网络或计算机系统关键节点收集信息依据动态学习或知识库进行分析,从中发现网络或系统中是否存在可疑或异常事件。
防火墙:防火墙是管理和控制网络流量的重要工具,防火墙适用于过滤流量的网络设备。防火墙根据一组定义的规则过滤流量。
概念不同:
防火墙和IPS属于访问控制类产品,而IDS属于审计类产品。我们可以用一个简单的比喻,描述三者的不同和关系——将网络空间比喻成一个大厦,那么防火墙相当于门锁,有效隔离内外网或不同安全域,IDS相当于监视系统,当有问题发生时及时产生警报,而IPS则是巡视和保证大厦安全的安保人员,能够根据经验,主动发现问题并采取措施。
保护内容不同:
防火墙较多应用在转发、内网保护(NAT)、流控、过滤等方面;IDS和IPS主要针对一些攻击情况。一般的防火墙只能做到3-4层的保护,对于5-7层的应用保护很一般,而5-7层的保护正是IDS和IPS的长处。
部署位置不同:
防火墙通常采用串行接入,部署在网络边界,用来隔离内外网;
IDS通常采用旁路接入,在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源,这些位置通常是:服务器区域的交换机上;Internet接入路由器滞后的第一台交换机上;重点保护网段的局域网交换机上。
3. IDS工作原理?
1、IDS分为实时入侵检测和事后入侵检测:
#1 实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
#2 事后入侵检测:由安全人员进行检测。
2、入侵检测分类:
#1 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
#2 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
3、入侵检测技术途径:
1 信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
2 数据分析:
4. IDS的主要检测方法有哪些详细说明?
1)异常检测模型:IDS会总结出正常操作应该具有的特征、用户轮廓,当用户活动与正常行为有重大偏离时就被认定为入侵
优点:
不需要专门的操作系统缺陷特征库
有效检测对合法用户的冒充检测
缺点:
建立正常的行为轮廓和确定异常行为轮廓的阈值困难
不是所有的入侵行为都会产生明显异常
2)误用检测模型(特征检测):IDS先收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与特征库的记录相匹配时,就会被认定为入侵
优点:
可检测特征库中所有已知的入侵行为
能明确入侵行为并提示防范方法
缺点:
缺乏对未知入侵行为的检测
对内部人员的越权行为无法进行检测
5. IDS的部署方式有哪些?
控制中心部署
准备硬件,服务器,数据库
防火墙开放必要端口
安装.net 3.5.1
安装SQL Server 数据库
安装IDS控制中心
使用IDS导库工具,生成IDS控制中心
虚拟机防火墙开放对应端口,提供远程访问
引擎部署
更改IP/子网掩码
重置引擎认证密钥
配置路由
允许ping引擎管理端口
管理口接线,登陆IDS web管理界面
导入IDS授权文件,下发授权
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
签名:用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
签名过滤器作用:
签名过滤器 是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将 IPS 特征库中适用
于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于
筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过
滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名配置作用:
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文 所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。