IDS——入侵检测

1、什么是IDS

        入侵检测系统(IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。

        入侵检测可以识别入侵者,识别入侵行为,监视和检测已成功的安全突破,为对抗入侵及时提供重要信息,以阻止事件的发生和事态的扩大,具有如下作用:

  • 实时检测网络系统的非法行为,持续地监视、分析网络中所有的数据报文,发现并及时处理所捕获的数据报文;
  • 安全审计,通过对入侵检测系统记录的网络事件进行统计分析,发现其中的异常现象,为评估系统的安全状态提供相关证据;
  • 不占用被保护系统的任何资源,作为独立的网络设备,可以做到对黑客透明,本身的安全性较高;
  • 主机入侵检测系统运行于被保护系统之上,可以直接保护、恢复系统。

2、IDS和防火墙有什么不同

        IDS是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失。

3、IDS工作原理

        IDS对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)是一个软件与硬件的组合系统。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

        检测器:分析和检测入侵的任务并向控制器发出警报信号。

        数据收集器:主要负责收集数据。

        知识库:为检测器和控制器提供必需的数据信息支持。

        控制器:根据警报信号人工或自动地对入侵行为做出响应。

4、IDS的主要检测方法

IDS主要有以下几种检测方法:

攻击检测:入侵检测类似于治安巡逻队,专门注重发现形迹可疑者

  • 被动、离线地发现计算机网络系统中的攻击者。
  • 实时、在线地发现计算机网络系统中的攻击者。

异常检测:IDS通常使用的两种基本分析方法之一,又称为基于行动的入侵检测技术。

  • 收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。

误用检测又称特征检测:IDS通常使用的两种基本分析方法之一,又称基于知识的检测技术。

  • 对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。

5、IDS的部署方式

        共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。

        隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。

        Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。

        In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。

        混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

6、IDS的签名,签名过滤器,例外签名配置作用

        签名:在IDS中,签名是一种用于检测特定入侵行为或攻击模式的规则或模式。IDS使用签名来比对网络流量、数据包或主机日志中的特定模式或特征,以判断是否存在已知的入侵或攻击行为。当检测到与签名匹配的流量或行为时,IDS会发出警报或采取其他预定的响应措施。签名可以基于已知的攻击模式、恶意软件特征、异常行为或其他入侵指标来构建。签名可以由安全厂商、社区或网络管理员自行创建或更新,也可以从公共的签名库或安全更新中获取。对于IDS来说,及时更新签名非常重要,以保持对新型攻击和恶意行为的检测能力。

        签名过滤器的作用:签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。

        例外签名配置作用:如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。


 

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值