什么是IDS
IDS(入侵检测系统):入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。
IDS和防火墙有什么区别
防火墙是针对黑客攻击的一种被动的防御,旨在保护;IDS则是主动出击寻找潜在的攻击者,发现入侵行为。
防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。
防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统。
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补。
IDS工作原理
IDS(入侵检测系统)的工作原理是通过监控网络流量、日志等信息来检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出警报。
IDS可以分为两种类型:
1,基于主机的IDS和基于网络的IDS。基于主机的IDS是安装在主机上的软件,它可以监控主机上的进程、文件、注册表等信息,以便及时发现异常行为
2,基于网络的IDS则是安装在网络上的设备,它可以监控网络流量,以便及时发现异常行为。
IDS的主要检测方法有哪些详细说明?
1,异常检测:当一个时间和已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
2,特征检测:IDS的核心是特征库(签名)
IDS部署方式
1,集中式部署方式是将IDS设备集中部署在网络的核心位置,通过监控网络流量、日志等信息来检测网络中的异常行为,并及时发出警报,
2,分布式部署方式则是将IDS设备分散部署在网络的各个位置,通过监控网络流量、日志等信息来检测网络中的异常行为,并及时发出警报
IDS签名、签名过滤器、例外签名
签名:用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
签名过滤器作用:
签名过滤器 是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将 IPS 特征库中适用
于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于
筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过
滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名配置作用:
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文 所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单
772
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
