大家好,欢迎来到IT知识分享网。
目录
一、什么是IDS
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。
二、IDS和防火墙有什么不同
三、IDS的工作原理
1、IDS分为实时入侵检测和事后入侵检测:
#1 实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
#2 事后入侵检测:由安全人员进行检测。
2、入侵检测分类:
#1 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
#2 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
3、入侵检测技术途径:
信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
四、IDS的主要检测方法
1.攻击检测
对数据包进行扫描;类似于治安巡逻队,注重于主动发现形迹可疑者
2.异常检测
基于行为的入侵检测技术:不分析数据包,分析一些包的发包规律
1.统计异常检测方法
通过数学统计的方法来检测
2.特征选择异常检测方法
根据行为:比如用异常端口访问服务器/服务器主动向外发送ping包/正常端口一分钟内多次访问服务器
345都不太成熟
3.误用检测(特征检测)
通过已知的入侵行为和手段进行分析,提取检测特征构建攻击模式或标签,判断入侵行为
1.基于条件的概率误用检测方法
比如某个用户有某种行为,正常用户一般不会这么干,该行为有多少概率是入侵行为,会发送报警,会有误报率
2.基于专家系统误用检测方法
就是根据熟悉已知的入侵行为特征进行一系列的分析,得出攻击模式,来检测防御入侵行为
3.基于状态迁移分析误用检测方法
比如OSPF,直接从init状态到Full状态
五、IDS的主要部署方式
六、IDS的签名
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名
签名过滤器作用:由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作:
作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
动作:
参考文章:https://blog.csdn.net/weixin_/article/details/
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/134819.html
