1. 什么是IDS?
IDS(入侵检测系统):
对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全
(机密性、完整性、可用性)
作用:
识别入侵者
识别入侵行为
检测和监视已成功的入侵
为对抗入侵提供信息与依据,防止时态扩大
2. IDS和防火墙有什么不同?
防火墙是在内网和外网之间的一道防御系统
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作
设备所处点不同
防火墙是在内网和外网之间的一道防御系统
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作
作用点不同
通过了防火墙的数据防火墙就不能进行其他操作
入侵检测(IDS) 是防火墙的有力补充,形成防御闭环,可以及时、正确、全面的发现入侵,弥补防火墙对应用层检测的缺失
动作不同
防火墙可以允许内部的一部分主机被外部访问
IDS只有监视和分析用户和系统的活动、行为
入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵,弥补防火墙对应用层检查的缺失。
3. IDS工作原理?
IDS分为实时入侵检测和事后入侵检测:
1、 实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
2、 事后入侵检测:由安全人员进行检测。
入侵检测分类:
1、 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
2、 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
入侵检测技术途径:
1、 信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
2、 数据分析
4. IDS的主要检测方法有哪些详细说明?
异常检测(行为):当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
特征检测(比对): IDS核心是特征库 (签名)
签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为
异常检测模型 (Anomaly Detection)
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型 (Misuse Detection)
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测 (signature-based detection)
5. IDS的部署方式有哪些?
旁挂 : 需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。也可以使用集线器、分光器实现流量复制。(即使是IPS也会有旁挂)
直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
签名过滤器的动作分为
1、阻断:丢弃命中签名的报文,并记录日志
2、告警:对命中签名的报文放行,但记录日志。
3、采用签名的缺省动作,实际动作以签名的缺省动作为准
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名作用:
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
最低0.47元/天 解锁文章
3544
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
