北邮网安-IDS(入侵检测系统)
为什么有了防火墙还要IDS,他们功能有什么不不同?
防火墙是一种访问控制类产品,主要用于隔离内外网或不同安全域,过滤网络流量,只允许符合规则的数据包通过。IDS是一种审计类产品,主要用于监视网络流量,检测已知或未知的攻击行为,并及时产生警报。
防火墙通常采用串行接入,部署在网络边界;IDS通常采用旁路接入,部署在网络内部。
IDS(入侵检测系统)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以保护网络系统资源的机密性、完整性和可用性。使用IDS的原因是因为防火墙等其他网络安全设备不能完全阻止所有的攻击,IDS可以提供更积极主动的安全防护技术。
防火墙是一种被动的防御而入侵防御系统是主动出击,去寻找潜在的攻击者;防火墙受到区域的各种限制,而入侵防御系统不受范围的限制。
防火墙是以防御功能为主,通过防火墙的数据不进行任何的操作;入侵防御系统可以进行实时的检测,发现入侵网络安全行为做出相应的保护措施,入侵防御系统可以对防火墙的弱点进行修补。
简单来说,IDS是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术,是防火墙之后的第二道安全闸门
IDS的任务
1.信息收集
包括收集用户在网络,系统,数据库等活动中的状态和行为
2.信息分析
一是通过模式匹配将收集到的信息与已有的特征数据库进行比较发现入侵
二是通过统计分析建立系统正常运行的行为轨迹,将与正常轨迹不同的系统状态视为可疑的入侵企图,需要使用入侵检测统计模型
这俩方法好像在网络安全中常用,要熟记
目前主要的漏洞
缓冲区溢出
拒绝服务攻击漏洞
代码泄漏、信息泄漏漏洞
配置修改、系统修改漏洞
脚本执行漏洞
远程命令执行漏洞
其它类型的漏洞
入侵的大致流程
目标探测和信息收集
自身隐藏
利用漏洞侵入主机
稳固和扩大战果
清除日志
入侵检测的步骤
信息收集
数据分析
响应(主动响应+被动响应)
入侵检测
入侵检测是一种网络安全技术,它通过监视和分析网络流量,寻找入侵迹象,例如对系统的攻击或企图
入侵检测的分类
根据审计对象的不同,可分为基于网络的IDS、基于主机的IDS和基于网络/主机混合型IDS。
根据检测技术可分为误用检测和异常检测两类。
根据系统的体系结构可以分为集中式、等级式和协作式入侵检测系统。
根据工作方式可以分为离线检测和实时检测。
基于主机系统结构HIDS
检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上
基于网络系统结构NIDS
根据网络流量、协议分析、单台或多台主机的审计数据检测入侵
一种特殊的NIDS:蜜罐技术
蜜罐是一个吸引潜在攻击者的陷阱,蜜罐技术可以帮助防御方研究攻击者的攻击目的、方法和工具,并有针对性地增强目标系统的安全防护能力。
目的:收集和分析现有威胁的信息(知道攻击者想怎么攻击我们的系统)
使用蜜罐技术可以大大减少所要分析的数据量,但大部分安全收到威胁的系统会被黑客用来攻击其他系统
在此解释一下:蜜罐技术虽然可以用来欺骗和捕捉攻击者,但也有可能被攻击者利用来对其他系统造成威胁。例如,攻击者可以通过蜜罐获取其他系统的信息或权限,或者利用蜜罐作为跳板或隐蔽点,从而对其他系统进行更深入或更隐秘的攻击。这就需要管理员对蜜罐系统进行严格的监控和维护,防止被攻击者反噬。
NIDS和HIDS的区别是什么?
1. NIDS是基于网络的入侵检测系统,它通过 监测网络流量来发现和分析入侵行为。HIDS是基于主机的入侵检测系统,它通过 监控主机的事件和系统调用来发现和分析入侵行为。
2. NIDS可以覆盖整个网络,对网络中的所有主机提供保护。HIDS只能保护安装了探头(代理)的主机,对其他主机无效。
3. NIDS可以检测到网络层和传输层的攻击,如SYN洪水、IP碎片等。HIDS可以检测到应用层和系统层的攻击,如缓冲区溢出、木马程序等。
4. NIDS由于需要处理大量的网络流量,可能会造成性能下降、丢包或误报。HIDS由于需要安装在每台主机上,可能会增加管理成本、占用资源或影响正常操作。
基于分布式系统的结构DIDS
可以在多个节点上部署不同的检测模块,相互协作来监视网络传输,发现可疑的行为或者攻击,并及时报警或者采取反应措施
它是一种结合了基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)的技术,可以在不同的主机和网络上部署多个检测器,通过一个中心控制器协调和分析各个检测器的数据,从而发现更多的入侵行为。
既能检测网络入侵行为,又能检测主机入侵行为。
入侵检测结构
入侵检测结构是指入侵检测系统的组成部分和功能模块
CIDF
入侵检测技术框架(CIDF)是一套定义了入侵检测系统(IDS)表达检测信息的标准语言和通信协议的规范
CIDF由事件产生器、事件分析器、响应单元和事件数据库组成。
CIDF组件之间通过通用入侵检测对象(GIDO)交换数据,GIDO可以表示事件、结论或指令。
事件产生器:从计算环境中获取事件,并提供给其他部分。
事件分析器:分析事件数据,发现危险或异常行为,并通知响应单元。
响应单元:对分析结果作出反应,如警告、阻断或隔离。
事件数据库:存储各种中间和最终数据,如日志、规则或报告。
攻击分析与攻击检测 —— 入侵检测技术
异常检测技术
入侵检测技术中异常检测技术是指通过统计分析系统或网络的正常行为,建立一个行为轮廓,然后将实际的行为与轮廓进行比较,发现与正常行为相差较大的情况,认为是入侵的迹象。异常检测技术可以检测未知的攻击,但也有一定的误报率。
异常检测技术有很多方法,主要可以分为基于统计学的方法和基于机器学习的方法。基于统计学的方法是通过建立一个生成模型来拟合数据集,然后找出低概率区域中的点作为异常点。基于机器学习的方法是通过训练一个分类器或者聚类器来划分数据集,然后找出与正常类别不同或者离群的点作为异常点。
误用检测技术
入侵检测技术中误用检测技术是指通过预先定义好的入侵模式或特征,将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现网络攻击行为的一种技术。误用检测技术的优点是检测准确度高,技术相对成熟,但缺点是难以检测未知或新的入侵行为,维护特征库的工作量巨大。
比如可以用:专家系统,模型推理,状态转换分析,
入侵检测部署
入侵检测部署是指在网络或计算机系统中安装和配置入侵检测系统(IDS)的过程
北邮网安-IDS(入侵检测系统)相关推荐
- 2019北邮网安院机试真题(回忆版)@lantin
2019北邮网安院机试真题(回忆版) 细不谈,前两题真的都是签到题,会简单排序和if-else都可以写的出来的题目.网安院的机试基本上是两道签到题,C题是数据结构题,D题是算法.做到保2争3,保3争4 ...
- 2020北邮网安803考研经验
2020北邮网安803考研经验 基本情况介绍 本人本科是医学类专业,本科期间学业成绩也非常一般,属于经常逃课的那类同学.不过大学多多少少接触了一些计算机方面的课程,对计算机方向非常感兴趣,于是考研就打 ...
- 北邮网安上岸经验分享
本人双非一战上岸北邮网安,虽然远远比不上其他大佬,努力和运气并存,但也想将我的备战考研过程写下来以供学弟学妹们可以参考~ 报考初衷 随波逐流,周围人都考研 强烈不想工作 + 一丢丢想提升自己的想法 想 ...
- 北邮网安382分(408 133分)经验贴
文章目录 北邮网安382分(408 133分)经验贴 考研前的准备 复习整体计划 每科复习计划 英语 政治 408 数学 复试 杂七杂八 最后的几句话 北邮网安382分(408 133分)经验贴 考研 ...
- 学术氛围极佳,北邮网安录取人数逐年攀升~
1.院校介绍 北京邮电大学于2016年1月成立了网络空间安全学院.网络空间安全学院是中央网信办/教育部"一流网络安全学院建设示范项目"单位.学院拥有完整的网络空间安全学科本/硕/博 ...
- 2019夏令营之行(下) 南大软件+北邮网研院
夏令营(上):https://blog.csdn.net/Cc_Sonia/article/details/95238001 正如上篇博客所说,北航计算机是我最满意的结果,所以剩下的这两个夏令营我就没 ...
- 2014年北邮网研院复试上机题目
2014年北邮网研院复试上机题目 2014.网研院.Problem A.分数加法 链接: http://10.105.242.83/problem/299 题目描述 求2^-a + 2^-b,其中a和 ...
- 2021年计算机保研(中科院网络信息中心+南开+北师大ai+北理网安+北交计院)
9.28号推免系统开放,接受了拟录取之后,我的保研之路就此宣告结束.回想这多半年,也没有很努力,也没有很放纵,大概就是早早满足于手中的offer了,相比于去哪个学校,一直更担心的是能不能拿到保研名额, ...
- 北邮网研院宿舍_考研经验|2020年北京邮电大学网研院上岸经验分享
作者:又又忘了密码 来源:王道论坛 第一次写帖子,在考研的过程中也浏览了不少之前考生的帖子,感觉还蛮有意义的,所以准备分享一下自己的经历,供大家参考. 首先介绍一下自己的情况,女生,本科北邮电子院,成 ...
最新文章
- 点击后,过段时间cell自动取消选中
- JS滚轮事件(mousewheel/DOMMouseScroll)了解
- JS 新浪下拉菜单+jQuery
- 在python中等号前面与后面分别是什么意思-Python中%是什么意思?python中百分号如何使用?...
- python for-Python for循环及基础用法详解
- Qt程序怎么在别人的电脑上运行
- VTK:网格之ColoredElevationMap
- 64位Ubuntu kylin 16.04搭建nfs网络文件系统
- uml+oopc嵌入式c语言开发精讲_新的程序开发模式出现,传统的嵌入式C语言程序员快要灭绝了?...
- 进入路由器boot的方式
- 【Oracle】ORA-04031错误解决
- 【自然框架】 权限 的视频演示(二): 权限到字段、权限到记录
- Python学习之购物车
- SqlServer智能提示工具
- 安装linux-mysql-yum方式
- cadvisor没有采集到容器信息解决方案
- 分支定界法求解旅行商问题
- linux开启vt虚拟化,VT虚拟化如何开启
- javascript 的alert()功能 prompt() 功能
- 简单的超市会员管理系统
热门文章
- 那些从不在双11剁手的年轻人
- 边缘检测之LOG算子
- GD32系列单片机EXTI外部中断配置
- python自动更新excel_Python办公自动化|自动更新表格,告别繁琐
- Apollo详细介绍
- 计算机每年有多少博士毕业,国内每年有多少博士毕业?其中又有多少博士能达到“年薪百万”?...
- vue+element-ui小结
- 单片机AT指令操作GA6-B短信模块连接阿里云MQTT服务器(双向通信)
- jupyter将ipynb转为md文件
- 支持中文的WordPress缓存加速优化插件WP Fastest Cache