IDS入侵检测系统与开源IDS-snort的安装与编写规则

最新推荐文章于 2023-11-04 23:29:37 发布

晓目

最新推荐文章于 2023-11-04 23:29:37 发布

阅读量3.7k

点赞数 3

文章标签：网络安全

本文链接：https://blog.csdn.net/weixin_64655821/article/details/127077034

版权

IDS的简介、分类与发展

1.Intrusion Detection System

IDS的简介、分类与发展

1.Intrusion Detection System

入侵检测技术是软件和硬件的结合，用于监控网络或系统以识别恶意活动并立即发出警报，从而保护系统资源的完整性、私密性和可用性。入侵检测技术与其他安全技术不同，它是一种积极主动的防御技术，可以有效防止未知攻击。可以如此形容入侵检测系统——假如防火墙为一幢大厦的门锁，那么入侵检测系统就是这幢大厦里的监控系统，一旦小偷进入了大厦，或内部人员有越界的行为，监控系统能够立即发出警报。因此，入侵检测系统应当“放置”在所关注流量数据必经的链路上。入侵检测系统的架构如图1所示事件产生器是从整个网络中获取事件，并将获取的事件提供给系统的其他部分；事件分析器是分析获取的事件，若发现异常，则通知响应单元；响应单元是对分析的结果做出相应的反应；事件数据库中存放过程数据。

2.IDS的分类

入侵检测系统按照数据源、检测方法、工作方式和体系结构进行分类。其具体分类如下图所示：

3.发展应用趋势

机器学习（深度学习、强化学习、联邦学习）等技术的使用、分布式入侵检测（DIDS）

4.IDS的局限性

·对用户知识要求较高，配置、操作和管理使用较为复杂
·网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要
·高虚警率，用户处理的负担重
·由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果
·在应对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响

5.IDS与WAF的区别

IDS（入侵检测系统）是IPS的前身，本质上是被动的。该设备未与流量串联插入，而是并行（带外放置）。通过交换机的流量也同时发送到IDS进行检查。如果在网络流量中检测到安全异常，则IDS只会向管理员发出警报，但无法阻止流量。与IPS相似，IDS设备还主要使用已知安全攻击和漏洞利用的特征来检测入侵企图。为了将流量发送到IDS，交换设备必须配置一个SPAN端口，以便复制流量并将其发送到IDS节点。尽管IDS在网络中是被动的（即它不能主动阻止流量），但是有些模型可以与防火墙配合使用以阻止安全攻击。例如，如果IDS检测到攻击，则IDS可以向防火墙发送命令以阻止特定的数据包

WAF（Web应用程序防火墙）专注于保护网站（或通常的Web应用程序）。它在应用程序层工作以检查HTTP Web流量，以检测针对网站的恶意攻击。例如，WAF将检测SQL注入攻击，跨站点脚本，Javascript攻击，RFI / LFI攻击等。由于当今大多数网站都使用SSL（HTTP），因此WAF还可以通过终止SSL会话并在WAF本身上检查连接内部的流量来提供SSL加速和SSL检查。如上图所示（带有WAF的防火墙），它被放置在网站的前面（通常）在防火墙的DMZ区域中。有了WAF，管理员可以灵活地限制对网站特定部分的Web访问，提供强身份验证，检查或限制文件上传到网站等。

开源IDS—Snort的简介

SNORT是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容搜索或者匹配。它是一个基于特征检测的入侵检测系统。

官网链接：Snort - Network Intrusion Detection & Prevention System

snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

一些开源的IDS：