1、什么是IDS?
是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
2、IDS和防火墙有什么不同?
IDS是内部防护及防火墙漏掉的流量而防火墙是外部防御,防火墙主要侧重被动防御而IDS主要侧重主动防御,从七层模型来看防火墙侧重1-4层而IDS侧重应用层。
3、IDS工作原理?
IDS(入侵检测系统)的工作原理是通过监控网络流量、日志等信息来检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出警报。
IDS可以分为两种类型:
(1)基于主机的IDS和基于网络的IDS。基于主机的IDS是安装在主机上的软件,它可以监控主机上的进程、文件、注册表等信息,以便及时发现异常行为
(2)基于网络的IDS则是安装在网络上的设备,它可以监控网络流量,以便及时发现异常行为。
4、IDS的主要检测方法有哪些详细说明?
攻击检测:
- 被动、离线的发现计算机系统的攻击者
- 实时、在线的发现计算机系统的攻击者
异常检测:
先总结用户的正常特征(即用户的正常行为),当用户的行为与正常行为发生偏差时即被认为入侵
误用检测
对已知的入侵行为和手段进行分析,提取入侵的特征,构建此入侵的攻击方式或攻击签名,判断入侵
5、IDS的部署方式有哪些?
(1)可以部署在防火墙旁边:主要检测内外出去的流量
(2)部署在边界路由器上:检测外网的入侵
(3)部署在核心或汇聚交换机上:内网入侵检测
6、IDS的签名是什么意思? 签名过滤器有什么作用? 例外签名配置作用是什么?
(1)IDS的签名是什么意思:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
(2)签名过滤器的作用是精确的把流量匹配的对象的签名放进去
(3)例外签名配置作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。