目录
一、IDS(入侵检测系统)
1. IDS基本概念
入侵检测系统(IDS)是对入侵行为进行检测并进行响应的网络安全设备。入侵检测系统通过监听的方式获得网络中传输的数据包,通过对数据包的分析判断其中是否含有攻击的行为。
2. 入侵检测系统的作用
(1)主动防御,防火墙的重要补充
(2)构建网络安全防御体系重要环节
3. 入侵检测类型
(1)网络入侵检测(NIDS)
(2)主机入侵检测(HIDS)
4. 入侵检测系统功能
(1)发现并报告系统中未授权或违反安全策略行为
(2)为网络安全策略的制定提供指导
5. 网络入侵检测系统
优点:
一般旁路安装,对设备性能要求不高,不容易成为瓶颈
局限性:
(1)无法对加密的数据进行分析检测;
(2)高速交换网络中处理负荷较重,存在性能不足;
(3)仅能检测到攻击行为,无法对攻击行为后果进行判断(是否攻击成功等)
6. 主机入侵检测系统
优点:
(1)分析网络报文
(2)监视所有系统行为(系统日志、账户系统、文件读写等)
(3)能够检测到攻击行为的后果
(4)能供用于加密网络环境
局限性:
(1)可移植性差,开发、测试的压力都比较大;
(2)需要消耗主机的硬件资源,会影响到主机的性能;
(3)仅能保护安装了产品的主机。
7. 检测技术
误用检测技术:
(1)建立入侵行为模型(攻击特征)
(2)假设可以识别和表示所有可能的特征