目录
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
1. 什么是IDS?
是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术
防火墙相当于门,IDS相当于摄像头,对通过防火墙的流量进行记录,弥补防火墙不足
IDS用于检测通过防火墙的流量,对于某些利用漏洞侵入到终端的流量进行监测和告警
主要是针对防火墙一些涉及不到的面,来采取措施
2. IDS和防火墙有什么不同?
首先防火墙针对的是非授权的流量进行过滤,而IDS则是针对通过了防火墙的流量进行检测。
IDS用于检测设备有无被侵入,从而进行告警。
防火墙主要进行控制(意在保护),而IDS只对于检测到的入侵行为进行告警(意在告知)
防火墙可以允许内部一些主机被外网访问,而IDS没有这些功能,IDS只负责检测
3. IDS工作原理?
特征库匹配
首先进来的流量被分为TCP流,UDP流或者其他流,然后解析器将其标记并分解为高层协议及其相关字段,并根据需要进行标准化处理。之后这些经过解码,解压,标准化后的协议字段会与检测网络流量中是否含有恶意攻击流量的签名集进行比对
每个利用漏洞的手法不一样,它们所产生的流量也不一样,利用不同流量的特征在特征库中进行匹配从而检测出入侵行为。
4. IDS的主要检测方法有哪些详细说明?
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
这两种模式的安全策略是完全不同的,而且,它们各有长处和短处:异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高;误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。但恶意行为千变万化,可能没有被收集在行为模式库中,因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。用户都采取两种模式相结合的策略。
5. IDS的部署方式有哪些?
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。
也可以使用集线器、分光器实现流量复制。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
签名用于描述入侵行为的特征,IDS将通过防火墙的流量与签名进行比对
IPS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文
所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单