你对入侵检测了解多少呢?

最新推荐文章于 2023-09-26 17:30:03 发布
最新推荐文章于 2023-09-26 17:30:03 发布
阅读量1.5k 收藏 4
点赞数 1
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49149766/article/details/126817799
版权

目录

一、什么是IDS(intrusion detection system)?       

入侵检测概述

二、IDS和防火墙有什么不同?

三、IDS工作原理?

四、IDS的主要检测方法有哪些详细说明?

异常入侵检测(Anomaly Detection)        白名单

误用入侵检测(Misuse Detection)        黑名单

五、IDS的部署方式有哪些?

六、IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么? 

IDS的签名:

签名过滤器作用:

签名过滤器的动作:

例外签名:

七、相关实验

1.实验拓扑

2. 自定义签名

3.添加例外签名

4.特征库升级

 5.在策略中配置签名

一、什么是IDS(intrusion detection system)?       

IDS(入侵检测系统):长时间的监测

  • 识别入侵者
  • 识别入侵行为
  • 检测和监视已成功的入侵
  • 为对抗入侵提供信息与依据,防止事态扩大

作用:对系统的运行状态进行监视,发现各种企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。

异常:当某个时间与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。

特征:IDS核心是特征库(签名)

入侵检测概述

  • 1980年James P. Aderson首先提出入侵检测概念,将入侵尝试或威胁定义为:潜在的,有预谋的,未经授权的访问信息和操作信息,致使系统不可靠或无法使用的企图。
  • 1987年,Dorothy Denning提出了入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次提出了入侵检测可作为一种计算机系统安全防御措施的概念,与传统的加密和访问控制技术相比,IDS是全新的计算机安全措施。
  • 1988年,Teresa Lunt等人进一步改进了Denning提出的入侵检测模型,创建了IDES(Intrusion Detection Expert System),该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的实时检测思想。
  • 1995年开发的NIDES(Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以检测出多个主机上的入侵。
  • 1990年,Heberlein等人提出基于网络的入侵检测—网络安全监视器(Network Security Monitor,NSM)。NSM与IDS系统的最大区别在于,它并不检查主机系统的审计记录,而是通过主动地监视局域网上的网络信息流量来追踪可疑的行为。
  • 1991年,NADIR(Network Anomaly Detection and Intrusion Reporter)与DIDS(Distribute Intrusion Detection System)提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。
  • 1994年,Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents)以提高IDS的可伸缩性,可维护性,效率和容错性。
  • 1996年提出的GrIDS(Graph-based Intrusion Detection System),该系统可以方便地检测大规模自动或协同方式的网络攻击。

二、IDS和防火墙有什么不同?

1.IDS则是主动出击寻找潜在的攻击者,发现入侵行为;防火墙是针对黑客攻击的一种被动的防御,旨在保护。

2.IDS进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;防火墙只是防御为主,通过防火墙的数据便不再进行任何操作。

3.IDS则没有这些功能,只是监视和分析用户和系统活动;防火墙可以允许内部的一些主机被外部访问。

三、IDS工作原理?

        IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而 IDS 监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。

四、IDS的主要检测方法有哪些详细说明?

        入侵检测的原理,是从一组数据中检测出符合某一特点的数据。

异常入侵检测(Anomaly Detection)        白名单

        构筑异常检测原理的入侵检测系统,首先要建立系统或用户的正常行为模式库,不属于该库的行为被视为异常行为。但是,入侵性活动并不总是与异常活动相符合,而是存在下列4种可能性:入侵性非异常;非入侵性且异常;非入侵性非异常;入侵性且异常。       

        另外,设置异常的门槛值不当,往往会导致IDS许多误报警或者漏检的现象。IDS给安全管理员造成了系统安全假象,漏检对于重要的安全系统来说是相当危险的。

误用入侵检测(Misuse Detection)        黑名单

        误用入侵检测依赖于模式库。误用入侵检测能直接检测出模式库中已涵盖的入侵行为或不可接受的行为,而异常入侵检测是发现同正常行为相违背的行为。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理,可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点.对检测未知的入侵可能用处不大。

五、IDS的部署方式有哪些?

  • 共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
  • 隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。
  • Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。
  • In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。
  • 混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

六、IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么? 

IDS的签名:

        入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用:

        由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

签名过滤器的动作:

  • 阻断:丢弃命中签名的报文,并记录日志
  • 告警:对命中签名的报文放行,但记录日志。
  • 采用签名的缺省动作,实际动作以签名的缺省动作为准

例外签名:

作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

动作:

  • 阻断:丢弃命中签名的报文并记录日志
  • 告警:对命中签名的报文放行,但记录日志
  • 放行:对命中签名的报文放行,且不记录日志。

七、相关实验

1.实验拓扑

2. 自定义签名

 

3.添加例外签名

4.特征库升级

 5.在策略中配置签名

 

别搞!好吗!
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络安全管理设备
qq_48456652的博客
09-27 3005
目录 一、IDS(入侵检测系统) 1. IDS基本概念 2. 入侵检测系统的作用 3. 入侵检测类型 4. 入侵检测系统功能 5. 网络入侵检测系统 6. 主机入侵检测系统 7. 检测技术 8. 入侵检测系统的部署 二、网络安全审计 1. 安全审计系统介绍 2. 安全审计系统的作用 三、漏洞扫描系统 1. 漏洞 2. 漏洞扫描 四、VPN(虚拟专网) 1. VPN实现技术 2. VPN的优势(相当于建立或租用专线) 3. VPN的应用场景 4. VPN的搭建 五、堡
学习笔记:入侵防御与检测基础
TKE_yinian的博客
03-10 3144
入侵检测与防御基础总体介绍入侵检测部署入侵检测技术的实现入侵防御系统部署方式对比 总体介绍 • 传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的,不能完全保证系统的安全。 • 在目前出现的各种安全威胁当中,从单纯的攻击转变获取利益。“网络威胁”经常是融合了病毒、黑客攻击、木马、僵尸、间谍等危害等于一身的混合体,因此单靠以往的防毒或者防黑技术往往难以抵御。...
常见安全设备总结(IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机等)
热门推荐
fe1ch1
03-08 4万+
常见安全设备总结(IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机等一、网络结构二、防火墙、IPS1.防火墙2.IPS三、上网行为管理、网闸1.上网行为管理2.网闸四、日志审计、数据库审计、IDS、漏洞扫描1.日志审计2.数据库审计3.IDS4.漏洞扫描五、堡垒机、VPN1.堡垒机2.VPN总结 一、网络结构 首先,绘制了最简易三层网络拓扑结构(含内外网)。现无任何安全设备,介绍每一类设备,常用功能、部署方式,同时绘入现有拓扑中,展示种产品在网络中最常规位置。 部署方式尤其重要,通常
入侵检测系统基础知识
yyj173637的博客
04-11 1127
入侵检测是指在特定的网络环境中发现和识别未经授权的、恶意的入侵和攻击,并对此作出反应的过程。入侵检测系统(IDS,Intrusion Detecting System)是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象(人或程序)入侵系统,另一方面还监视授权对象对系统资源的非法操作。入侵检测作为一种积极主动的安全防护技术,提供了对内部、外部和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
什么是IPS?如何对其进行调整?
qq_38322998的博客
03-24 5854
IPS(Intrusion Prevention System)是一种基于攻击特征检测入侵行为的安全机制,可以检测缓冲区溢出、木马、蠕虫、SQL注入等多种攻击,并支持告警、阻断等响应方式。
入侵检测NIDS_NIDS入侵检测代码_入侵检测_
09-29
NIDS入侵检测源代码,了解NIDS入侵检测过程
个人入侵检测系统的实现.doc
06-17
入侵检测系统在如今的计算机安全市场环境中占有很大的一席之地,由于...手段层出不穷,于是就这一现象,开展对于入侵检测系统新的发展趋势与未来层次结构一次有意义的探索,为今后的网络环境安全形式多一份深入的了解
深入了解动态入侵检测技术IDS才能有效防范网络黑客
03-03
黑客是网上不安全的主要因素之一,已经为我们造成了...本文介绍了动态的入侵检测技术IDS。入侵检测技术是当今一种非常重要的动态安全技术,如果与传统的静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。
NSA.rar_nsa c++_入侵检测_入侵检测算法_负选择算法
09-21
基于入侵检测的负选择算法,适合于初学者,可以快速了解负选择算法思想
如何整合入侵检测系统和入侵防御系统
10-20
网络安全,入侵检测系统,入侵防御系统,现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,包括感知异常情况,本文将帮你了解IDS和IPS,以及如何整合它们,实现完美保护。,如何整合入侵...
入侵检测与防御技术基础
Flytiger
12-15 6217
网络入侵简介 典型的入侵行为 篡改web网页; 破解系统密码; 复制/查看敏感数据; 使用网络嗅探工具获取用户密码; 访问未经允许的服务器; 其他特殊硬件获取原始网络包; 向主机植入特洛伊木马程序; 常见的入侵方式 未授权访问 拒绝服务 假冒和欺诈 线路窃听 ...
防火墙、NAT、IDS(入侵检测系统)
weixin_57243925的博客
03-24 1065
多通道协议:控制进程与传输进程分离,意味着控制传输进程协议和端口与传输进程的协议和端口不一致,如:FTP、RTSP、DNS、QQ、微信**处理方案:**使用ASPF技术,抓取并分析多通道协议的控制报文并找到传输进程所需要的详细网络参数(多通道协议都是通过控制进程报文协商处理传输进程网络参数)---->根据ASPF分析控制进程特殊报文找到传输进程,生成server-map表,放行传输进程报文,传输进程匹配server-map表后生成会话表,传输进程后续报文匹配会话表。
网络安全--IDS--入侵检测
最新发布
weixin_65685029的博客
09-26 887
1. 什么是IDS? 2. IDS和防火墙有什么不同? 3. IDS工作原理? 4. IDS的主要检测方法有哪些详细说明? 5. IDS的部署方式有哪些? 6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么? IDS配置
都这麽大了还不快了解IDS?
newlife1441的博客
09-11 3073
IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。本质上,入侵检测系统是一个典型的"窥探设备"也就类似生活中的监控器。对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。IDS的检测包括:异常检测:当某个事件与一个 已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS。
安全防御 --- 入侵检测 --- IDS、IPS
weixin_62443409的博客
04-03 3931
(相当于一个摄像头。用户可以将自己身份伪装成合法的,或者通过后门进入,绕过或者攻破防火墙,此时防火墙相当于虚设)
AppScan渗透测试
A1323563583的博客
10-23 1068
AppScan概述 它是由IBM公司开发的一款在Web应用程序渗透测试舞台上使用最广泛的工具,有助于专业安全人员进行Web应用程序自动化脆弱性评估 AppScan 8.0版本 中文 开源 免费 Win10安装需要先安装NET+Framework+3.5 可以用虚拟机WIN7安装 AppScan渗透测试 选择一种测试策略 缺省值:包含多有测试,但不包含侵入式和端口侦听器 仅应用程...
防火墙之入侵检测
weixin_54111663的博客
03-28 1869
1. 入侵检测介绍 (1)入侵检测概念:通过监视各种操作,分析,审计各种数据和现象来实时检测入侵行为的过程,它是一种积极的动态的安全防御技术 (2)入侵检测系统(IDS):用于入侵检测的所有软硬件系统,发现有违反安全策略的行为或系统存在被攻击的痕迹,立即启用有关安全机制进行应对
入侵检测(IDS)系统
cunzhangxp的专栏
04-04 2966
入侵检测(IDS)系统  我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器,这是另一个确定网络中存在哪些活动类型的工具。入侵监测系统会在两方面引起你的注意。首先,这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二,你可能在推荐这种产品,因此,你必须知道如何为特殊的网络情况推荐这种产品。  在测试过程中你可以使用多种类型
入侵检测系统(IDS)和入侵防御系统(IPS)对比分析
tigerman20201的博客
06-19 498
入侵检测系统(IDS)和入侵防御系统(IPS)是两种不同的网络安全设备,它们都可以用来检测和防御网络入侵行为,但是它们的工作方式和功能有所区别。IDS和IPS都是重要的网络安全设备,它们可以相互配合,共同提升网络安全防护能力。
入侵检测系统需要了解什么
05-26
入侵检测系统(Intrusion Detection System,简称IDS)需要了解以下内容: 1. 网络拓扑结构:了解网络的拓扑结构,包括网络设备、网络连接方式等,有助于确定IDS的部署位置和监测范围。 2. 网络协议:了解网络协议的特点和工作原理,可以帮助IDS识别来自网络中的数据包是否正常。 3. 攻击类型:了解常见的攻击类型和攻击手段,可以提高IDS的检测准确性和响应速度。 4. 威胁情报:了解最新的威胁情报,可以帮助IDS及时发现新型攻击。 5. 系统安全配置:了解系统安全配置的规范和标准,可以根据实际情况对IDS进行配置和优化。 6. 日志分析技术:了解日志分析技术和工具,可以帮助IDS对网络事件进行深入分析和溯源。 7. 人工智能技术:了解人工智能技术在入侵检测领域的应用,可以帮助IDS提高检测准确性和自适应能力。 综上所述,入侵检测系统需要了解网络、攻击、安全配置、日志分析等多方面知识,以提高其检测和响应能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值