目录
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
一、IDS
1. 什么是IDS?
IDS全称是:intrusion detection systems 的缩写,又称“入侵检测系统”。
对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
2. IDS和防火墙有什么不同?
首先防火墙针对的是非授权的流量进行过滤,而IDS则是针对通过了防火墙的流量进行检测(防火墙是一种被动的防御, IDS则是在主动出击寻找潜在的攻击者;)
防火墙主要进行控制(意在保护),而IDS只对于检测到的入侵行为进行告警(意在告知)
防火墙可以允许内部一些主机被外网访问,而IDS没有这些功能,IDS只负责检测
3. IDS工作原理?
4. IDS的主要检测方法有哪些详细说明?
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
5. IDS的部署方式有哪些?
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。 也可以使用集线器、分光器实现流量复制。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
二、恶意软件和代码
1. 什么是恶意软件?
恶意软件是旨在恶意破坏网络、计算机、服务器、客户端的正常运行或对其造成损害的软件的统称
2. 恶意代码有哪些特征?
- 下载特征
- 后门特征
- 信息收集特性
- 自身隐藏特性
- 文件感染特性
- 网络攻击特性
3. 恶意软件的可分为那几类?
按照传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的 宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
原理 计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破 口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在 宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
病毒感染目标包括:硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件 (.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。
例如:熊猫烧香"熊猫烧香" 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中 exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho 的文件。由于被其感染的文件图标会被替换成 "熊猫烧香"图案,所以该病毒被称为"熊猫烧香"病毒。
蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝 到另一台计算机上的程序。
最低0.47元/天 解锁文章
141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
