安全防御-----IDS
1. 什么是IDS?
IDS全称是:intrusion detection systems 的缩写,又称“入侵检测系统”。
是一种对网络传输进行即时监视,在发现可以传输时发出警报或者采取主动反应措施的网络安全设备。
IDS就是依照一定的安全策略,对网络系统的进行监视,尽可能的发现各种攻击企图、攻击行为或者攻击结果,以保证网络资源的机密性、完整性和可用性。是一个软件和硬件结合的系统。
2. IDS和防火墙有什么不同?
①首先防火墙是针对黑客攻击的一种被动的防御,根本在于保护;
IDS则是在主动出击寻找潜在的攻击者,发现入侵行为。
②防火墙只是防御为主,通过防火墙的数据便不在进行任何操作,IDS则是进行实时监控和检测,发现入侵行为会立即做出反应,这是对防火墙的弱点进行修补。
③防火墙可以允许内部的一些主机被外网访问,IDS则没有这些功能,仅仅只是监视和分析用户和系统活动。
3. IDS工作原理?
I DS:入侵检测系统在捕捉到某一个攻击事件后,按相应策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间的间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
第一步:信息收集
收集的内容包括系统、网络、数据以及用户活动状态和行为
入侵检测利用的信息一般来自于四个方面:
①系统日志
②目录以及文件的异常改变
③程序执行的异常行为
④物理形式的入侵信息(未授权的网络硬件连接,物理资源的未授权访问)
第二步:数据分析
一般有三种技术手段进行分析:
①(误用型检测)模式匹配:将收集到的信息与已知的网络入侵系统误用模式数据库进行比对,从而发现违背安全策略的行为。
②(异常检测)统计分析:通过一个统计分析的方法给系统对象(一个文件、设备、用户、目录等)创建一个统计描述(类似一个整体特征描述),对系统对象平常使用的进行测量。其测量属性被用来对网络、系统的行为进行比较,如果观察值超过了平均值的范围,就会认为有入侵发生。优点就是可以检测到未知的入侵或者更为复杂的入侵,但是,缺点也显而易见,误报、漏报率比较高,不适应用户正常行为的突然改变。
简而言之:就是在一个网络工作正常的理解范围内(轮廓),突然出现一个意外的行为,就会被当作一个入侵。
③完整性分析:是对于某个文件或者对象是否被更改(包括文件内容和属性)。它在发现被修该成类似于木马的应用程序这方面比较有效。优点:不管是模式匹配还是统计分析是否能发现入侵,只要有入侵行为导致文件发生的任何改变,都能够被发现。缺点就是一般以批处理方式实现,没有用于实时响应。
4. IDS的主要检测方法有哪些详细说明?
①(误用型检测)模式匹配:将收集到的信息与已知的网络入侵系统误用模式数据库进行比对,从而发现违背安全策略的行为。
②(异常检测)统计分析:通过一个统计分析的方法给系统对象(一个文件、设备、用户、目录等)创建一个统计描述(类似一个整体特征描述),对系统对象平常使用的进行测量。其测量属性被用来对网络、系统的行为进行比较,如果观察值超过了平均值的范围,就会认为有入侵发生。优点就是可以检测到未知的入侵或者更为复杂的入侵,但是,缺点也显而易见,误报、漏报率比较高,不适应用户正常行为的突然改变。
简而言之:就是在一个网络工作正常的理解范围内(轮廓),突然出现一个意外的行为,就会被当作一个入侵。
③完整性分析:是对于某个文件或者对象是否被更改(包括文件内容和属性)。它在发现被修该成类似于木马的应用程序这方面比较有效。优点:不管是模式匹配还是统计分析是否能发现入侵,只要有入侵行为导致文件发生的任何改变,都能够被发现。缺点就是一般以批处理方式实现,没有用于实时响应。
5. IDS的部署方式有哪些?
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流与某个签名中的特征高度相似时,设备会按照签名的动作来处理该数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器的作用:
由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
例外签名配置作用:
就是为了更加细化的进行流量的放行,精准的控制。
三个动作:阻断、告警 、放行
实验:
划分区域:
写入安全策略:
建立入侵防御配置文件:
查看覆盖情况:
最后是例外签名:
实验到这里基本就完成了。
安全防御-----IDS相关推荐
- 安全防御——IDS(入侵检测系统)
安全防御--IDS(入侵检测系统) IDS介绍 为什么需要IDS IDS的工作原理 IDS的工作过程 第一步:信息收集 第二步:数据分析 IDS的主要检测方法 1.模式匹配(误用检测) 2.统计分析( ...
- 都这麽大了还不快了解IDS?
目录 一.思考 二.实验 1.实验拓扑 2.实验步骤 2.1 配置防火墙 2.2 外网配置 2.3 内网配置 2.4 安全策略 2.5 测试 三.总结 什么是IDS? IDS和防火墙有什么不同? ID ...
- 网络安全中英文术语大全
网络安全中英文术语大全 A 01享级持久感动(APT) 一种阿络攻击.使用复杂的技术持续对目标 政府和公司进行网络间谍活造或其他咨意活 动.遗常由具有丰富专业知识和大量安渗的 对手进行-通营与民族国家 ...
- 2021在职技术提升规划-1 Java架构II
2021在职技术提升规划-1 Java架构II ...
- 大数据主要概念股一览
原文地址:大数据主要概念股一览 作者:热点 继物联网.云计算.互联网移动互联网之后,"大数据"(BigData)主题投资近日在业内引起高度关注,最早提出"大数据" ...
- Java高级开发学习大纲
作者:田超凡 原创博文,严禁复制,仅供内部使用参考,仿冒必究 技术内训大纲: 阶段一:架构设计方法论与心法 第1周 软件架构设计导论 本周将带大家一起构建软件架构整体认知,内容包括:软件架 ...
- 安全防御 --- 入侵检测 --- IDS、IPS
入侵检测 1.入侵检测经典理论 系统访问控制要针对三类用户 (1)合法用户 (2)伪装 --- 攻破[流程控制](超出了合法用户的行为范围) 身份仿冒(可能是最早提出不能仅依赖于身份认证,还要加强行为 ...
- 安全防御(三)--- IDS、防火墙入侵防御
目录 一.什么是IDS? 二.IDS和防火墙有什么不同? 三.IDS工作原理? 四.IDS的主要检测方法有哪些详细说明? 五.IDS的部署方式有哪些? 六.IDS的签名是什么意思?签名过滤器有什么作用 ...
- IDS入侵检测IPS入侵防御
学习笔记 什么是入侵 入侵检测系统-IDS IDS特点 主动发起检测 检测入侵特征-发送通知到阻断设备 通常情况下旁挂 在企业网络中,和防火墙联动 传统fw加IDS弊端 入侵防御系统-IPS IDS与 ...
最新文章
- IPhoneX网页布局简介
- iphone彻底删除照片如何恢复_手机删除的照片如何恢复?OPPO最新照片恢复
- 大数据_MapperReduce_从CSV文件中读取数据到Hbase_测试---Hbase工作笔记0022
- Why do people love certain websites and web products?
- 四级数据中心认证机构更新标准全新上线
- python cls方法
- VMWare、Ubuntu、ROS安装参考汇总
- async的waterfall
- Linux Gnome 桌面美化
- narwal无法连接机器人_ABB机器人驱动通讯连接不上故障维修方法
- 常见的ICE工具和集成开发环境
- springboot高校失物招领系统的设计与实现毕业设计源码121441
- 爱迪尔 门锁接口文档_爱迪尔门锁软件管理系统
- Java(老白再次入门) - 泛型
- 機器學習基石 机器学习基石 (Machine Learning Foundations) 作业二 Q19-20 C++实现
- RHCE考点-个人见解
- 计算机工程学院文艺例会,信息工程学院学生会第一次全体例会
- proteus中仿真D触发器CD4013
- webAPP学习设计:页面模式的设计。
- linux usb 总线驱动程序,Linux下的USB总线驱动