IDS(入侵检测系统)是一种主动防护技术,与防火墙不同,它能主动寻找潜在攻击。IDS的工作原理包括异常检测和误用检测,部署方式包括共享、隐蔽、Tap、In-line和混合模式。签名是IDS识别攻击行为的关键,而签名过滤和例外签名配置则用于管理和定制防御策略。
一,什么是IDS?
入侵检测系统:是对网络传输进行 及时监控,在发现可疑传输时发生警报或者采取主动反应措施的网络安全 设备。他与其他网络安全设备不同之处便在于,IDS是一种积极主动 的安全防护技术。
二,IDS与防火墙有什么不同?
1.防火墙是针对黑客攻击的一种被动防御保护,IDS则是主动出击寻找潜在的 攻击者发现 入侵行为。
2.防火墙是本地网络和外地网络与就是互联网之间 的一道 防御屏障,IDS对攻击做出反击技术。
3.防火墙只是防御为主,通过防火墙的数据便不再进行 任何操作 ,IDS则进行实时检测,发现入侵行为即可作出反应,是对防火墙墙入间的修补。
4.防火墙可以允许内部的一些主机被 外部访问,IDS则没有这些功能,只是监视和 分析用户 和系统活动 。
三 ,IDS工作原理?
IDS:入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
四 ,IDS的主要检测方法有哪些详细说明?
1,异常检测模型
首先总结正常操作应该具有的特征,当用户活动 与正常行为有重大偏移时即被认为入侵。
2,误用检测模型
收集非正常操作的行为特征,建立相关的特征库 ,当检测的用户或 系统行为与库中记录相匹配 时,系统 就认为这种西部工委就是入侵。
五 ,IDS的部署方式有哪些?
1,共 享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
2,隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。
3,Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。
4,In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。
5,混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。
六,IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名 进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会 按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
签名 过滤 的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名配置作用是什么:就是为了就是用于更细致化的进行IPS流量的放行。
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中的报文方向=行,且不记录日志。
1155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
