一、IDS概述、分类及其不同种类IDS的优缺点
IDS概述
IDS,intrusion detection system,入侵检测系统,其对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,是一种积极主动的安全防护技术。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。IDS应当挂接在所有所关注的流量都必须流过的链路上。此流量是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。IDS应尽可能靠近攻击源、尽可能靠近受保护资源,其也可以和防火墙进行联动的来阻拦入侵的行为,IDS放置位置包含:服务器区域的交换机上、边界路由器的相邻交换机上、重点保护网段的局域网交换机上。
IDS分类
1、按入侵检测形态分:硬件入侵检测、软件入侵检测。
2、按目标系统的类型分:网络入侵检测、主机入侵检测、混合型入侵检测。
3、按系统结构分:集中式入侵检测、分布式入侵检测。
不同种类IDS的优缺点
1、HIDS,主机入侵检测:对针对主机或服务器系统的入侵行为进行检测和响应。优点是:性价比高、更加细腻、误报率较低、适用于加密和交换的环境、对网络流量不敏感、可以确定攻击是否成功。缺点是:它依赖于主机固有的日志与监视能力,而主机审计信易受攻击,入侵者可设法逃避审计、IDS的运行或多或少影响主机的性能、HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测,所能检测到的攻击类型受到限制、全面部署HIDS代价较大。
2、NIDS,网络入侵检测:利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务。优点是:隐蔽性好、实时检测和响应、攻击者不易转移证据、不影响业务系统、能够检测未成功的攻击企图。缺点是:只检测直接连接网段的通信,不能检测在不同网段的网络包、交换以太网环境中会出现检测范围局限、很难实现一些复杂的、需要大量计算与分析时间的攻击检测、处理加密的会话过程比较困难。
3、DIDS,分布式入侵检测:一般由多个协同工作的部件组成,分布在网络的各个部分,完成相应的功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应。
二、IDS的必要性、作用、功能及局限性
必要性
网络安全本身的复杂性,被动式的防御方式显得力不从心,而防火墙等网络边界的设备自身可以被攻破,其对某些攻击保护很弱,由于入侵教程随处可见、各种工具唾手可得,入侵很容易。
作用
IDS可以作为防火墙的重要补充、是构建网络安全防御体系重要环节,其可以克服传统防御机制的限制。
功能
监测并分析用户和系统的活动、核查系统配置和漏洞、对操作系统进行日志管理、并识别违反安全策略的用户活动、针对已发现的攻击行为作出适当的反应,如告警、中止进程等。
局限性
1、对用户知识要求较高,配置、操作和管理使用较为复杂。
2、网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要。
3、高虚警率,用户处理的负担重。
4、由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果。
5、在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响。
三、IDS架构、工作过程
架构
1、事件产生器:从整个计算环境中获得事件,并向系统的其他部分提供此事件。
2、事件分析器:分析数据,发现危险、异常事件,通知响应单元。
3、响应单元:对分析结果作出反应。
4、事件数据库:存放各种中间和最终数据。
工作过程
1、对当前系统或用户的行为进行监控,并根据:系统日志、应用日志、网络数据、审计记录或其他IDS报警进行信息收集。
2、事件分析器对收集的信息或知识库中的历史行为、特定行为模式等进行入侵分析,分析引擎进行异常检测、误用检测等,并判断是否为入侵行为。
3、若确定是入侵行为,则进行告警响应。
四、IDS技术分类、参数、入侵响应技术
参数
1、误报false positive:实际无害的事件却被IDS检测为攻击事件。
2、漏报false negative:一个攻击事件未被IDS检测到或被分析人员认为是无害的。
技术分类
1、误用检测技术:基于模式匹配原理,收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。特点是准确率高、算法简单,但是误报低、漏报高。此技术要识别所有的攻击特征、要建立完备的特征库、特征库要不断更新、无法检测新的入侵。
2、异常检测技术:基于统计分析原理,首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。特点是异常检测系统的效率取决于用户轮廓的完备性和监控的频率、不需要对每种入侵行为进行定义,因此能有效检测未知的入侵、系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。该技术可检测未知攻击,有自适应、自学习能力。
入侵响应技术
1、主动响应: 入侵检测系统由用户驱动,系统本身自动执行。在检测到入侵后能够阻断攻击、影响进而改变攻击的进程,可对入侵者采取反击行动及。修正系统环境
2、被动响应: 只向用户提供信息而依靠用户去采取下一步行动的响应,入侵检测系统仅仅简单地报告和记录所检测出的问题,告警和通知、利用SNMP并结合网络管理工具使用。
五、IPS概述、分类
IPS概述
IPS,Intrusion Prevention System,入侵防御系统,IPS是一种安全设备或软件,串行部署在设备中,其用于监测和阻止网络和计算机系统中的恶意行为和安全威胁。与入侵检测系统(IDS)不同,IPS可以在检测到威胁时,自动阻止攻击并采取行动,以保护网络和系统的安全。IPS能够监视网络或网络设备的网络资料传输行为,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流过的每个报文进行深度检测,一旦发现网络攻击,可以根据该攻击的威胁级别立即采取抵御措施。
IPS分类
1、NIPS,Network-based IPS,网络入侵防御系统,NIPS是安装在网络上的设备或软件,它可以监测网络流量,分析网络中的数据包和协议,以检测和阻止威胁。
2、HIPS,Host-based IPS,主机入侵防御系统,HIPS是安装在单个主机上的软件,它可以监测该主机上的文件、系统调用和网络连接等,以检测和阻止恶意行为和威胁。
六、IPS作用、主要功能
作用
1、实时监测网络流量和系统日志,及时发现并阻止恶意攻击,保障网络安全。
2、基于签名库和异常检测技术,可以发现已知和未知的攻击,提高安全防护能力。
3、通过防止网络攻击,可以避免数据泄露和系统瘫痪等风险,保护企业的财产和声誉。
4、提供实时的警报和事件日志,帮助管理员及时发现异常行为和攻击,减少安全漏洞的影响。
5、支持自动化防御和快速响应机制,可以在攻击发生时立即采取防御措施,降低风险并提高安全性。
6、结合其他安全设备和技术,形成综合的安全防护策略,提高网络安全的整体水平。
主要功能之:监控
1、流量监控:通过实时监控网络流量,分析数据包的内容和特征,以识别潜在的恶意活动和攻击行为。
2、恶意行为检测:使用多种检测方法(如签名匹配、异常检测和行为分析)来识别恶意行为。这些方法可以帮助IPS实时发现已知和未知的攻击。
3、预警和报警:当检测到潜在的安全事件时,它会生成预警和报警信息,通知安全团队采取相应的措施。这些报警可以通过邮件、短信或其他通知方式发送给相关人员。
4、实时阻断:具有实时阻断功能,可以在检测到攻击时立即采取措施,如丢弃恶意数据包、重置连接或阻止攻击者的IP地址。这有助于减轻攻击的影响,保护网络资源和数据。
5、事件记录和日志:记录检测到的安全事件和处理措施,生成详细的日志信息。这些日志可以用于进一步分析和审计,以提高网络安全防御能力。
6、集成与协同:IPS可以与其他安全工具(如SIEM、防火墙和入侵检测系统)集成,共享威胁情报和事件数据,实现更全面、高效的实时安全事件监控。
主要功能之:相应和处置
1、实时检测和监控:实时检测和监控网络流量和系统日志,发现安全事件和威胁,提供实时的警报和事件日志。
2、威胁情报共享:与其他安全设备和安全组织共享威胁情报,及时获取最新的攻击信息和防御策略。
3、自动化防御和快速响应:自动化防御和快速响应机制,可以在攻击发生时立即采取防御措施,降低风险并提高安全性。
4、精确的攻击定位:精确地定位攻击源和攻击目标,帮助管理员快速定位和处置安全事件。
5、提供详细的日志和报告:提供详细的日志和报告,记录安全事件和威胁情况,帮助管理员分析和评估安全状况。
6、支持与安全管理系统集成:IPS与安全管理系统集成,通过集中管理和控制,实现对全局安全事件的监控和管理,提高响应效率和准确性。
主要功能之:势态感知和可视化
1、实时监测和分析:实时监测网络流量和系统日志,分析数据流量和事件,发现安全威胁和异常行为,帮助管理员了解网络安全情况。
2、数据聚合和分析:将不同来源的数据聚合起来,并进行分析,形成综合的安全态势感知,帮助管理员快速发现网络威胁和安全漏洞。
3、可视化展示:将分析结果以图表、图形、地图等形式进行可视化展示,帮助管理员直观地了解网络安全态势,发现安全问题和威胁。
4、预警和报告:通过预警和报告功能,及时向管理员发出安全预警和报告,帮助管理员及时采取措施,保护网络安全。
5、支持与安全管理系统集成:与安全管理系统集成,通过集中管理和控制,实现对全局网络安全态势的监控和管理,提高安全感知和可视化的效率和准确性。
七、IPS主要目标、核心组件
主要目标
1、防止攻击:防止各种类型的攻击,例如拒绝服务攻击、网络蠕虫、恶意软件、网络钓鱼等,以保护网络和系统的安全。
2、监测网络流量:监测网络流量,分析网络中的数据包和协议,以检测和阻止威胁。
3、监测系统调用和文件:监测系统调用和文件,以检测和阻止恶意行为和威胁。
4、自动阻止攻击:自动阻止攻击并采取行动,例如关闭连接、终止进程等,以保护网络和系统的安全。
5、提高网络和系统的安全性:帮助组织及时发现和响应安全事件,减少安全漏洞的损害,并提高网络和系统的安全性。
6、辅助安全管理:提供详细的安全事件报告和日志,辅助安全管理人员进行安全事件的分析和管理。
核心组件
1、签名库:包含已知攻击的特征和规则,用于检测和防御已知的攻击。
2、异常检测引擎:用于检测未知攻击和异常行为,通过分析网络流量和系统日志等信息来发现攻击。
3、阻止引擎:根据检测到的攻击类型和威胁级别,采取相应的阻止措施,例如阻止网络连接或关闭相关服务。
4、管理控制台:用于配置和管理IPS系统,包括更新签名库、配置检测规则、查看警报和日志等。
5、日志和报告系统:用于记录IPS系统的活动和事件,生成报告和分析数据,帮助管理员监控和评估系统的安全状况。
八、IDS和IPS的区别
功能和目的
入侵检测系统(IDS)主要关注监控网络流量,检测潜在的恶意活动和攻击行为,并在发现异常时发出警报。而入侵防御系统(IPS)不仅具有检测功能,还具有阻止或减轻攻击的能力。简而言之,IDS主要用于发现问题,而IPS旨在解决问题。
响应方式
当IDS检测到潜在的安全事件时,它会生成警报并通知安全团队。然而,IDS本身无法采取措施阻止攻击。相反,IPS在检测到攻击时可以自动采取实时阻断措施,如丢弃恶意数据包、重置连接或阻止攻击者的IP地址。
部署位置
IDS通常部署在网络的边缘,用于监控进出网络的流量。而IPS则位于网络的内部,介于防火墙和内部网络之间,以实现对网络流量的实时监控和阻断。
性能影响
由于IPS需要实时分析和处理网络流量,因此可能对网络性能产生一定影响。而IDS通常对网络性能的影响较小,因为它主要关注监控和警报,而不涉及实时阻断。
复杂性和管理
IPS通常比IDS更复杂,因为它需要更精细的策略和规则配置,以防止误报和误阻断。此外,IPS的管理和维护工作量也可能较大,因为它需要不断更新和优化阻断策略。
2692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
