目录
一、什么是IDS
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。
二、IDS和防火墙有什么不同
入侵检测IDS是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵
弥补防火墙对应
三、IDS的工作原理
1、IDS分为实时入侵检测和事后入侵检测:
#1 实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
#2 事后入侵检测:由安全人员进行检测。
2、入侵检测分类:
#1 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
#2 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
3、入侵检测技术途径:
信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
四、IDS的主要检测方法
1.攻击检测
对数据包进行扫描;类似于治安巡逻队,注重于主动发现形迹可疑者
2.异常检测
基于行为的入侵检测技术:不分析数据包,分析一些包的发包规律
1.统计异常检测方法
通过数学统计的方法来检测
2.特征选择异常检测方法
根据行为:比如用异常端口访问服务器/服务器主动向外发送ping包/正常端口一分钟内多次访问服务器
345都不太成熟
3.误用检测(特征检测)
通过已知的入侵行为和手段进行分析,提取检测特征构建攻击模式或标签,判断入侵行为
1.基于条件的概率误用检测方法
比如某个用户有某种行为,正常用户一般不会这么干,该行为有多少概率是入侵行为,会发送报警,会有误报率
2.基于专家系统误用检测方法
就是根据熟悉已知的入侵行为特征进行一系列的分析,得出攻击模式,来检测防御入侵行为
3.基于状态迁移分析误用检测方法
比如OSPF,直接从init状态到Full状态
五、IDS的主要部署方式
IDS部署场景:
IDS产品采用的是旁路部署方式,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器)。每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量,部署在其他交换机下的主机间的流量无法被监听。由于企业内网可能层次化部署交换机,这种情况下,需要将所有需要监听的网段的交换机上的流量都通过监听端口连接到IDS设备上,然后对流量进行检测分析
六、IDS的签名
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名
签名过滤器作用:由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作:
阻断:丢弃命中签名的报文,并记录日志
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准
例外签名:
作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
动作:
阻断:丢弃命中签名的报文并记录日志
告警:对命中签名的报文放行,但记录日志
放行:对命中签名的报文放行,且不记录日志
参考文章:https://blog.csdn.net/weixin_58299245/article/details/126931571