一、 什么是IDS?
IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
二、IDS和防火墙有什么不同?
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。
三、IDS工作原理?
有三种 IDS 检测方法通常用于检测事件:
(1)基于签名的检测会将签名与观察到的事件进行比较,以识别可能的事故。这是最简单的检测方法,因为它只使用字符串比较运算来比较当前的活动单元(例如将一个数据包或一个日志条目与一个签名列表进行比较)。
(2)基于异常的检测会将视为异常活动的行为定义与观察到的事件进行比较,以识别重大违规。在测定以前未知的威胁方面,此方法可能非常有效。
(3)有状态的协议分析将预先确定的每个协议状态的良性协议活动通常接受的定义资料与观察到的事件进行比较,以识别违规。
四、IDS的主要检测方法有哪些详细说明?
异常检测模型(Anomaly Detection):
当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事情在轮廓以外,就认为是异常,IDS就会告警。
特征:IDS核心是特征库(签名),符合特征库的就被干掉。
误用检测模型(Misuse Detection):
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测。
五、 IDS的部署方式有哪些?
共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
最低0.47元/天 解锁文章
扫一扫
2479
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
