第三次作业

1. 什么是IDS？

IDS（入侵检测系统）：

对系统的运行状态进行监视，发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全

（机密性、完整性、可用性）

作用：

识别入侵者

识别入侵行为

检测和监视已成功的入侵

为对抗入侵提供信息与依据，防止时态扩大

2. IDS和防火墙有什么不同？

防火墙是在内网和外网之间的一道防御系统

IDS是一个旁路监听设备，没有也不需要跨接在任何链路上，无需流量流经过也能进行工作

设备所处点不同

防火墙是在内网和外网之间的一道防御系统

IDS是一个旁路监听设备，没有也不需要跨接在任何链路上，无需流量流经过也能进行工作

作用点不同

通过了防火墙的数据防火墙就不能进行其他操作

入侵检测（IDS） 是防火墙的有力补充，形成防御闭环，可以及时、正确、全面的发现入侵，弥补防火墙对应用层检测的缺失

动作不同

防火墙可以允许内部的一部分主机被外部访问

IDS只有监视和分析用户和系统的活动、行为

入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵，弥补防火墙对应用层检查的缺失。

3. IDS工作原理？

IDS分为实时入侵检测和事后入侵检测：

1、 实时入侵检测：在网络连接过程中进行，发现入侵迹象立即断开当前连接，并收集证据和实施数据恢复。

2、 事后入侵检测：由安全人员进行检测。

入侵检测分类：

1、 基于网络：通过连接在网络的站点捕获数据包，分析是否具有已知攻击模式。

2、 基于主机：通过分析系统审计数据来发现可疑活动，比如内存和文件的变化；输入数据只要来源于系统日志。

入侵检测技术途径：

1、 信息收集：系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。

2、 数据分析

4. IDS的主要检测方法有哪些详细说明？

异常检测（行为）:当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。

特征检测（比对）: IDS核心是特征库 (签名)

签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为

异常检测模型 (Anomaly Detection)

首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型 (Misuse Detection)

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测 (signature-based detection)

5. IDS的部署方式有哪些？

旁挂 : 需要在部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像到IDS旁挂口。也可以使用集线器、分光器实现流量复制。(即使是IPS也会有旁挂)

直路：直接串连进现网，可以对攻击行为进行实时防护，缺点是部署的时候需要断网，并增加了故障点

单臂：旁挂在交换机上，不需改变现网，缺点是流量都经过一个接口，处理性能减半，另外不支持BYPASS

旁路：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS签名：入侵防御签名用来描述网络种存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过滤器中为这些签名统一设置新的动作，操作非常便捷。

签名过滤器的作用： 由于设备长时间工作，累积了大量签名，需要对其进行分类，没有价值会被过滤器过滤掉。起到筛选的作用。

签名过滤器的动作分为

1、阻断:丢弃命中签名的报文，并记录日志

2、告警:对命中签名的报文放行，但记录日志。

3、采用签名的缺省动作，实际动作以签名的缺省动作为准

签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

例外签名作用：
由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

例外签名的动作分为: