目录
6.IDS的签名是什么意思?签名过滤器有什么用?例外签名的配置作用是什么?
1.什么是IDS?
IDS------入侵检测系统。是一种对
网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极
主动的安全防护技术。
假如防火墙是一幢大楼的门锁,那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,实时监视系统会发现情况并发出警告。
2.IDS和防火墙有什么不同?
-
防火墙是针对黑客攻击的一种被动的防御旨在保护;IDS 则是主动出击寻找潜在的攻击者发现入侵行为。
-
防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障;IDS 是对攻击作出反击的技术。
-
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作;IDS 则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补。
-
防火墙可以允许内部的一些主机被外部访问;IDS 则没有这些功能,只是监视和分析用户和系统活动。
3. IDS工作原理? 
入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵,并能采取相应的措施及时中止这些危害,如提示报警、阻断连接、通知网管等。
其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。
入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵。弥补防火墙对应用层检查的缺失。
4.IDS的主要检测方法?
攻击检测
入侵检测类似于治安巡逻队,专门注重发现形迹可疑者
· 被动、离线地发现计算机网络系统中的攻击者。
· 实时、在线地发现计算机网络系统中的攻击者。
异常检测
IDS
通常使用的两种基本分析方法之一,又称为基于行动的入侵检测技术。
收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。
异常检测模型:首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测
又称特征检测
IDS
通常使用的两种基本分析方法之一,又称基于知识的检测技术。
对
已知的
入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。
误用检测模型:收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测。
两者对比:
5. IDS的部署方式有哪些?
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到
IDS
旁挂口。
也可以使用集线器、分光器实现流量复制。
6.IDS的签名是什么意思?签名过滤器有什么用?例外签名的配置作用是什么?
1.签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
自定义签名:
2.签名过滤器场景:IPS
特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将
IPS
特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动
作为准。
3.例外签名:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址
或目的地址添加至黑名单。
扫一扫
537
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
