IDS入侵检测系统

1.IDS的概念

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

对系统的运行状态进行监视，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性，机密性，可靠性），是一个软件与硬件组合的系统。

2.IDS的工作原理和作用

工作原理：

        IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而 IDS 监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。

作用：

• 识别入侵者
• 识别入侵行为
• 检测和监视已成功地入侵
• 为对抗入侵提供信息与依据，防止时态扩大

3.IDS和防火墙的对比

入侵检测 技术 (IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。 传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。

所以IDS和防火墙是一对“好搭档”，IDS可以对恶意流量进行监控，检测并报警，防火墙再将IDS检测出来的恶意流量进行阻断。

 4. IDS的主要检测方法

异常检测模型和误用检测模型

异常检测模型 （ Anomaly Detection ）

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是

入侵。

误用检测模型 （ Misuse Detection ）

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection ）。

5. IDS的部署方式

IDS产品采用的是旁路部署方式，一般直接通过交换机的监听口进行网络报文采样，或者在需要监听的网络线路上放置侦听设备（如分光器）。 每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量，部署在其他交换机下的主机间的流量无法被监听。

 旁挂：需要在部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像到IDS旁挂口。

也可以使用集线器、分光器实现流量复制。

6. IDS的签名

IDS的签名： 入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器的作用

        IPS特征库中包含了针对各种攻击行为的海量签名信息，但是在实际网络环境中，业务类型可能比较简 单，不需要使用所有的签名，大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过 滤器将常用的签名过滤出来。

        

        签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS 特征库中适用于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于 筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过 滤器中为这些签名统一设置新的动作，操作非常便捷。

        签名过滤器的动作分为：

• 阻断：丢弃命中签名的报文，并记录日志。
• 告警：对命中签名的报文放行，但记录日志。
• 采用签名的缺省动作，实际动作以签名的缺省动作为准。

签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

例外签名配置的作用

        作用：由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

例外签名的动作分为：

• 阻断：丢弃命中签名的报文并记录日志。
• 告警：对命中签名的报文放行，但记录日志。
• 放行：对命中签名的报文放行，且不记录日志。添加黑名单：是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单。

7.IDS的总体配置顺序

IDS配置实验 

实验拓扑

新建入侵防御配置文件

 

 

 引用入侵配置配置文件

由于华为ensp模拟器无法加载特征库，暂无演示结果