1.什么是IDS?
IDS(入侵检测系统):入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。
入侵检测主要面对的三类用户:
-
合法用户
-
伪装用户
- 秘密用户
2.IDS和防火墙有什么不同?
防火墙是针对黑客攻击的一种被动的防御,旨在保护;IDS则是主动出击寻找潜在的攻击者,发现入侵行为 防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统 防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补 防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动 入侵检测的模型:
-
主体
-
对象
-
审计记录
-
活动档案
-
异常记录
-
活动规则
3. IDS工作原理?
入侵检测作用与原理:
- 识别入侵者
- 识别入侵行为
- 检测和监视已成功的入侵
- 为对抗入侵提供信息与依据,防止时态扩大
4. IDS的主要检测方法有哪些详细说明?
异常检测模型(Anomaly Detection)
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。 误用检测模型(Misuse Detection)
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测
5.IDS的部署方式有哪些?
共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。 隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作 Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易 In-Iine模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击 混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。
6.IDS的签名是什么意思?
签名过滤器有什么作用?例外签名配置作用是什么? IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器作用:由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作:
阻断:丢弃命中签名的报文,并记录日志 告警:对命中签名的报文放行,但记录日志。 采用签名的缺省动作,实际动作以签名的缺省动作为准 例外签名:
作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
阻断:丢弃命中签名的报文并记录日志
告警:对命中签名的报文放行,但记录日志
放行:对命中签名的报文放行,且不记录日志。