1. 什么是IDS?
入侵检测:针对防火墙涉及不到的地方采取措施,捕捉有问题的流量特征,将特征做成特征数据库,对后面的流量进行匹配判断有无入侵。
经典理论---入侵检测访问控制的三种用户:
- 合法用户
- 伪装者--可能有身份仿冒--流程控制攻破
- 秘密用户--后门--逻辑控制攻破
经典模型---系统抽象模型:
- 主体
- 对象
- 审计记录
- 活动档案
- 异常记录--与正常流量的行为模型进行比较,偏离这个模型就算作异常
- 活动规则
IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性)
IDS的作用:实时监测
- 识别入侵者
- 识别入侵行为
- 检测和监视已成功的入侵
- 为对抗入侵提供信息和依据,防止事态扩大
2. IDS和防火墙有什么不同?
区别1:
- 防火墙主要是对外防御,这是针对攻击的被动防御,主要目的是保护内网用户
- IDS主要是对内部的检测,IDS会主动寻找潜在的攻击者,主要是发现入侵行为
区别2:
- 防火墙是在内网和外网之间的一道防御系统
- IDS是一个旁路监听设备,没有也不需要跨接在任何链路上