第三次作业

1. 什么是IDS?

IDS(入侵检测系统):

对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全

(机密性、完整性、可用性)

作用:

识别入侵者

识别入侵行为

检测和监视已成功的入侵

为对抗入侵提供信息与依据,防止时态扩大

2. IDS和防火墙有什么不同?

防火墙是在内网和外网之间的一道防御系统

IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作

设备所处点不同

防火墙是在内网和外网之间的一道防御系统

IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作

作用点不同

通过了防火墙的数据防火墙就不能进行其他操作

入侵检测(IDS) 是防火墙的有力补充,形成防御闭环,可以及时、正确、全面的发现入侵,弥补防火墙对应用层检测的缺失

动作不同

防火墙可以允许内部的一部分主机被外部访问

IDS只有监视和分析用户和系统的活动、行为

入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵,弥补防火墙对应用层检查的缺失。

3. IDS工作原理?

IDS分为实时入侵检测和事后入侵检测:

1、 实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。

2、 事后入侵检测:由安全人员进行检测。

入侵检测分类:

1、 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。

2、 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。

入侵检测技术途径:

1、 信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。

2、 数据分析

4. IDS的主要检测方法有哪些详细说明?

异常检测(行为):当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。

特征检测(比对): IDS核心是特征库 (签名)

签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为

异常检测模型 (Anomaly Detection)

首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型 (Misuse Detection)

收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测 (signature-based detection)

5. IDS的部署方式有哪些?

旁挂 : 需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。也可以使用集线器、分光器实现流量复制。(即使是IPS也会有旁挂)

直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点

单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS

旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御

6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。

签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。

签名过滤器的动作分为

1、阻断:丢弃命中签名的报文,并记录日志

2、告警:对命中签名的报文放行,但记录日志。

3、采用签名的缺省动作,实际动作以签名的缺省动作为准

签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

例外签名作用:
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值