1. 什么是IDS?
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
2. IDS和防火墙有什么不同?
①防火墙是针对黑客攻击的一种被动的防御旨在保护,IDS 则是主动出击寻找潜在的攻击者发现入侵行为;
②防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障,IDS 是对攻击作出反击的技术;
③防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS 则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;
④防火墙可以允许内部的一些主机被外部访问,IDS 则没有这些功能,只是监视和分析用户和系统活动。
3. IDS工作原理?
ids入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
4. IDS的主要检测方法有哪些详细说明?
①模式匹配(误用检测)
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂。
②统计分析(异常检测)
统计分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。
5. IDS的部署方式有哪些?
①共享模式和交换模式
从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
②隐蔽模式
在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。
③Tap 模式
以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。
④In-line 模式
直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。
⑤混合模式
通过监听所有连接到防火墙的网段,全面了解网络状况。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
在IDS中,"签名"是指已知攻击模式或恶意行为的特征。签名可以是特定攻击的模式、恶意软件的特征码、协议字段的异常使用、网络流量的异常模式等。IDS使用签名来进行检测,通过匹配流量或活动与已知的签名进行比较,以识别潜在的入侵行为。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。