一、什么是IDS
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
二、IDS和防火墙有什么不同
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
防火墙是针对黑客攻击的一种被动的防御旨在保护,IDS 则是主动出击寻找潜在的攻击者发现入侵行为;
防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障,IDS 是对攻击作出反击的技术;
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS 则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;
防火墙可以允许内部的一些主机被外部访问,IDS 则没有这些功能,只是监视和分析用户和系统活动。
三、IDS的工作原理
基于网络的IDS(实时,在线):
网络流量进入IDS后,IDS会对流量进行分析和比较,通过使用已知的模式和规则匹配、特征检测等方式,判断流量是否存在与已知攻击相似的攻击行为。
基于主机的IDS(被动,离线):
主机IDS也被称为HIDS。它在单个主机上运行,监视主机上的操作和事件,通过分析主机行为并将其与重要数据进行比较来检测可能的入侵事件。
四、IDS的主要检测方法
异常检测
统计异常检测方法
根据用户对象的活动为每个用户都建立一个特征轮廓表,通过对当前特征与以前已经建立的特征进行比较,来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新,其保护去多衡量指标,这些指标值要根据经验值或一段时间内的统计而得到。
特征选择异常检测方法
从一组特征值中选择能够检测出入侵行为的特征值,构成相应的入侵特征库,用于预测入侵行为。其关键之处是能否针对具体的入侵类型选择到合适的特征值,因此理想的入侵检测特征库需要能够进行动态的判断。
基于贝叶斯网络异常检测方法
通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。
基于贝叶斯推理异常检测方法
通过在任何给定的时刻,测量变量值,推理判断系统是否发生入侵事件。
基于模式预测异常检测方法
事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件,其特点是事件序列及相互联系被考虑到了,只关心少数相关安全事件是该检测法的最大优点。
误用检测
基于条件的概率误用检测方法
基于专家系统误用检测方法
基于状态迁移分析误用检测方法
基于键盘监控误用检测方法
基于模型误用检测方法
五、IDS的部署方式
网络边界部署:IDS部署在网络边界,进行攻击流量的监视和拦截。该方式适用于对外开放服务的网络环境,如Web服务器等。优点是可以在攻击进入内部网络之前进行检测和保护,缺点是无法在内部网络中检测到攻击。
内部流量部署:IDS将网络流量全部通过镜像端口或TAP端口转发到IDS设备进行检测和监视。该方式可以检测网络中所有的非授权活动、内部攻击以及各种信息泄露事件。
分布式部署:IDS安装在多个地点,监测与其所在位置相关的网络流量。该方式可以提高整个网络的安全性以及可靠性,缺点是维护成本较高。
混合部署:IDS与其他安全设备(如防火墙、IPS等)一起部署,在保护网络安全方面发挥协同作用。
主机内部部署:也称为HIDS(主机入侵检测系统),部署在所需保护的主机上,可以对主机中的各种异常行为进行检测和防御。
六、 IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS(入侵检测系统)的签名是指用于识别和检测攻击流量的规则。签名由特定的规则编写而成,当IDS检测到匹配该规则的网络流量时,会发出警报或者采取其他的防御措施。常见的IDS签名包括正则表达式、字符串或二进制码等。
签名过滤器是IDS中的一种功能模块,作用是根据安全管理员定义的签名规则进行网络流量检测。IDS通过检测流经其检测器的网络流量并与定义的签名规则进行比较,以检测是否存在具有威胁性的流量,如恶意软件、漏洞利用等。
例外签名配置是在IDS中设置的一种特殊的签名规则,其作用是将某些流量从IDS的检测范围外,即忽略这些流量的检测。典型的例外签名可能包括受信任的IP地址、已知的安全漏洞等。通过配置例外签名,可以减少误报率,提高IDS的检测效率和精度。
1130
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
