安全防御之入侵检测篇

最新推荐文章于 2023-12-28 18:26:12 发布
最新推荐文章于 2023-12-28 18:26:12 发布
阅读量2.1k 收藏 10
点赞数 1
分类专栏: 安全防御 文章标签: 安全 IDS/IPS 签名 ensp 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67259816/article/details/129674267
版权

目录

1.什么是IDS?

2.IDS和防火墙有什么不同?3.IDS的工作原理?

4.IDS的主要检测方法有哪些?请详细说明

5.IDS的部署方式有哪些?

6.IDS的签名是什么意思?签名过滤器有什么用?例外签名的配置作用是什么?

7.IPS配置实验

1.什么是IDS?

IDS ---- 入侵检测系统。IDS 主要检测系统内部,运行在被监控的主机上,对主机的网络行为、系统日志、进程和内存等指标进行监控。IPS 是检测在系统的防火墙和外网之间,针对流向内部的流量进行分析。监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,实时监视系统会发现情况并发出警告

2.IDS和防火墙有什么不同?

  • 防火墙是针对黑客攻击的一种被动的防御,旨在保护,IDS 则是主动出击寻找潜在的攻击者发现入侵行为;

  • 防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障,IDS 是对攻击作出反击的技术;

  • 防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS 则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;

  • 防火墙可以允许内部的一些主机被外部访问,IDS 则没有这些功能,只是监视和分析用户和系统活动。

3.IDS的工作原理?

防火墙主要是针对流量进行管控的一种防御设备,在安全策略,会话表等的情况下决定可以通过防火墙的流量 ;而入侵检测系统不仅针对已经通过防火墙的流量进行监控和检测,也会对防火墙内部的流量进行监控和检测。IDS提升了内部区域的安全性,是对防火墙的一个有力补充。

IDS作用:

  • 识别入侵者
  • 识别入侵行为
  • 检测和监视已成功的入侵
  • 为对抗入侵提供信息和依据,防止事态扩大

4.IDS的主要检测方法有哪些?请详细说明

  • 异常检测:当某个事件与一个 已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。

  • 特征检测:IDS核心是特征库(签名)。签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。

异常检测模型**(Anomaly Detection)

首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型**(Misuse Detection)收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测(Signature-based detection)。

5.IDS的部署方式有哪些?

旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。也可以使用集线器、分光器实现流量复制。

集线器最主要的功能就是当一个接口有流量通过,就回对剩余接口进行洪泛;分光器的主要作用就是在物理方面将光再复制一份。

6.IDS的签名是什么意思?签名过滤器有什么用?例外签名的配置作用是什么?

IDS中签名就是某种入侵行为所具备的特征,IDS特征检测就是使用特征库与数据特征进行比对,判断是否为入侵行为。

签名过滤器的场景:IPS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。

签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。

签名过滤器的动作分为:

  • 阻断:丢弃命中签名的报文,并记录日志。

  • 告警:对命中签名的报文放行,但记录日志。

  • 采用签名的缺省动作,实际动作以签名的缺省动作为准。

签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

例外签名

由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:

  • 阻断:丢弃命中签名的报文并记录日志。

  • 告警:对命中签名的报文放行,但记录日志。

  • 放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。

7.IPS配置实验

防火墙针对不同协议的入侵检测,已经内置了相应的入侵配置文件;我们可以选择新建,针对新协议的入侵检测,也可以选择修改已有的配置文件,来达到所需的入侵检测的需求。 

 在配置安全策略时,可以针对内容安全进行选择相应的配置文件。

 查看IPS特征库

查看具体签名信息

 

shadow_58
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于ensp的网络通信防火墙实验
weixin_52297878的博客
07-22 4462
基于ensp的网络通信防火墙实验 1、实验目的: (1)理解防火墙的作用和工作原理; (2)掌握防火墙的配置命令及方法; (3)区分基于端口配置的包过滤防火墙和基于安全域配置的防火墙; 2、实验内容: (1)搭建防火墙安全拓扑; (2)创建和配置防火墙安全区域; (3)配置安全策略,部署NAT; (4)测试防火墙功能。 ...
入侵检测防火墙综合实验报告
11-01
使用锐捷网络做的防火墙实验,这是实验报告,我自己做的,大家多多指教
黑客入侵检查
qq_32529933的博客
01-02 650
今天无意中在逛github时发现一写的不错的文章,对于Linux的小白还是大有帮助的! 思路 扫描木马工具:clamAV 官网:http://pkgs.repoforge.org/clamav/ CentOS 安装:yum install -y clamav*启动 clamAV 服务:service clamd restart更新病毒库:freshclam扫描方法:
网络安全入侵检测
qq_57289939的博客
04-03 3330
入侵检测
防火墙入侵检测技术实验》
weixin_52439435的博客
05-24 1703
防火墙入侵检测技术实验》
ensp基础网络攻击模拟
qq_62449917的博客
10-28 1233
通信异常。
实验报告-入侵检测防御
08-19
入侵检测技术学习案例1-8的8个实验报告,格式图片齐全。
基于计算机网络的入侵检测防御研究
07-05
入侵检测防御系统是计算机网络安全的一个重要技术手段,然而随着高速网络技术快速发展,入侵检测防御系统面临着严峻的挑战。本文设计并实现了基于计算机网络的入侵防御原型系统,在实现入侵检测功能的同时,能够在...
入侵检测防御系统.zip
02-24
入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一...
论文研究-入侵检测研究综述.pdf
07-22
入侵检测是动态安全技术中最核心的技术之一。从体系结构的演变、检测方法分析和系统测评工作三个方面对当前入侵检测的研究进行技术性综述,讨论了现有的入侵检测体系结构,详细分析了各种入侵检测方法,对现有的入侵...
入侵防御检测期末考试复习题
07-13
入侵防御检测及防御期末复习资料,精心整理!绝对质量保证,可以用作期末复习使用!!
入侵检测系统调研报告如何搭建入门级IDS原理分析.docx网络安全课题物联网安全课题
最新发布
05-16
入侵检测系统调研报告如何搭建入门级IDS原理分析,网络安全课题物联网安全课题,研究生物联网安全网络安全方向,研究资料
如何整合入侵检测系统和入侵防御系统
10-20
网络安全,入侵检测系统,入侵防御系统,现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,包括感知异常情况,本文将帮你了解IDSIPS,以及如何整合它们,实现完美保护。,如何整合入侵...
模式匹配算法在入侵检测中的应用
07-30
仅依靠传统的被动防御技术已经不能满足如今的网络安全需要,基于模式匹配的入侵检测系统正成为研究和应用的热点,模式匹配效率的高低决定了这类入侵检测系统的性能。全面综述了应用于入侵检测系统的经典的模式匹配...
毕业设计-基于监督学习的web入侵检测系统源码.zip
05-25
毕业设计—基于监督学习的web入侵检测系统源码.zip 毕业设计——基于监督学习的web入侵检测系统(0day收集器) 机器学习方面 用的技术比较low,只是scikit-learn里面的svm用了一下,开始的时候用knn来着,当现在...
网络安全 入侵检测技术
在校大学生
12-28 1135
入侵检测系统(IDS)用于进行入侵检测的自动化工具,是入侵检测的软件与硬件的组合。从发展而来第一次详细阐述了入侵检测的概念计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作。1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——IDES(入侵检测专家系统)
基于Ensp Arp模拟欺诈攻击实验
weixin_63058714的博客
10-02 856
ensp模拟实验
ENSP简单实验
Sigefreedom的博客
07-19 275
进行域名配置(www.roland.com),并告诉pad dns服务器的ip(192.168.2.10),别忘了启动。双击pc1, 进入命令行, 尝试在pc1里ping pc2 (一开始ping不通可能是启动比较慢,稍等一会)不过一般而言大家都不会去记忆网站ip,故我们启用一台DNS(域名解析服务)服务器。选择http服务,点击右侧省略号选择文件,最后点击启动(网站就搭好了)pc访问网站需要浏览器,该模拟器上的pc没有这东西,所幸pad上有。然后给pc配好ip,掩码和网关(记得点应用)
防火墙入侵检测技术——NAT实验
Yo_ol的博客
04-10 1671
实验目的 温习及巩固NAT的各种技术及应用 实验环境及器材(软件、硬件环境及所需实验材料) PC、ensp 三、 实验内容及步骤 实验基于USG5500 NAT No-PAT(ip地址一对一转换) 组网使用2台PC连接交换机再连接防火墙,交换机配置vlan,防火墙配置vlan、vlanif接口及ip,防火墙接交换机的接口需要切换到二层...
snort入侵检测系统实验
05-12
Snort是一种流行的开源网络入侵检测系统。下面是一个基本的Snort入侵检测系统实验: 1. 安装Snort:可以在Snort官方网站上下载安装包并按照说明进行安装。 2. 配置Snort:打开Snort配置文件,修改规则文件路径、日志文件路径等参数。可以参考官方文档中的示例进行配置。 3. 运行Snort:启动Snort并开始监控网络流量。可以使用以下命令启动Snort: ``` sudo snort -i eth0 -c /etc/snort/snort.conf ``` 其中,eth0是要监控的网络接口,/etc/snort/snort.conf是Snort配置文件路径。 4. 测试Snort:使用Metasploit等工具对目标主机进行攻击,观察Snort是否能够检测到攻击行为并生成相应的日志。 5. 分析日志:查看Snort生成的日志文件,分析检测到的攻击行为以及是否有误报现象。 总体来说,Snort入侵检测系统实验的重点在于理解和配置Snort的规则文件,以及对Snort生成的日志文件进行分析和解读。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shadow_58

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值