安全防御-----IDS
1. 什么是IDS?
IDS全称是:intrusion detection systems 的缩写,又称“入侵检测系统”。
是一种对网络传输进行即时监视,在发现可以传输时发出警报或者采取主动反应措施的网络安全设备。
IDS就是依照一定的安全策略,对网络系统的进行监视,尽可能的发现各种攻击企图、攻击行为或者攻击结果,以保证网络资源的机密性、完整性和可用性。是一个软件和硬件结合的系统。
2. IDS和防火墙有什么不同?
①首先防火墙是针对黑客攻击的一种被动的防御,根本在于保护;
IDS则是在主动出击寻找潜在的攻击者,发现入侵行为。
②防火墙只是防御为主,通过防火墙的数据便不在进行任何操作,IDS则是进行实时监控和检测,发现入侵行为会立即做出反应,这是对防火墙的弱点进行修补。
③防火墙可以允许内部的一些主机被外网访问,IDS则没有这些功能,仅仅只是监视和分析用户和系统活动。
3. IDS工作原理?
I DS:入侵检测系统在捕捉到某一个攻击事件后,按相应策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间的间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
第一步:信息收集
收集的内容包括系统、网络、数据以及用户活动状态和行为
入侵检测利用的信息一般来自于四个方面:
①系统日志
②目录以及文件的异常改变
③程序执行的异常行为
④物理形式的入侵信息(未授权的网络硬件连接,物理资源的未授权访问)
第二步:数据分析
一般有三种技术手段进行分析:
①(误用型检测)模式匹配:将收集到的信息与已知的网络入侵系统误用模式数据库进行比对,从而发现违背安全策略的行为。
②(异常检测)统计分析:通过一个统计分析的方法给系统对象(一个文件、设备、用户、目录等)创建一个统计描述(类似一个整体特征描述),对系统对象平常使用的进行测量。其测量属性被用来对网络、系统的行为进行比较,如果观察值超过了平均值的范围,就会认为有入侵发生。优点就是可以检测到未知的入侵或者更为复杂的入侵,但是,缺点也显而易见,误报、漏报率比较高,不适应用户正常行为的突然改变。
简而言之:就是在一个网络工作正常的理解范围内(轮廓),突然出现一个意外的行为,就会被当作一个入侵。
③完整性分析:是对于某个文件或者对象是否被更改(包括文件内容和属性)。它在发现被修该成类似于木马的应用程序这方面比较有效。优点:不管是模式匹配还是统计分析是否能发现入侵,只要有入侵行为导致文件发生的任何改变,都能够被发现。缺点就是一般以批处理方式实现,没有用于实时响应。
4. IDS的主要检测方法有哪些详细说明?
①(误用型检测)模式匹配:将收集到的信息与已知的网络入侵系统误用模式数据库进行比对,从而发现违背安全策略的行为。
②(异常检测)统计分析:通过一个统计分析的方法给系统对象(一个文件、设备、用户、目录等)创建一个统计描述(类似一个整体特征描述),对系统对象平常使用的进行测量。其测量属性被用来对网络、系统的行为进行比较,如果观察值超过了平均值的范围,就会认为有入侵发生。优点就是可以检测到未知的入侵或者更为复杂的入侵,但是,缺点也显而易见,误报、漏报率比较高,不适应用户正常行为的突然改变。
简而言之:就是在一个网络工作正常的理解范围内(轮廓),突然出现一个意外的行为,就会被当作一个入侵。
③完整性分析:是对于某个文件或者对象是否被更改(包括文件内容和属性)。它在发现被修该成类似于木马的应用程序这方面比较有效。优点:不管是模式匹配还是统计分析是否能发现入侵,只要有入侵行为导致文件发生的任何改变,都能够被发现。缺点就是一般以批处理方式实现,没有用于实时响应。
5. IDS的部署方式有哪些?
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流与某个签名中的特征高度相似时,设备会按照签名的动作来处理该数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器的作用:
由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
例外签名配置作用:
就是为了更加细化的进行流量的放行,精准的控制。
三个动作:阻断、告警 、放行
实验:
划分区域:
写入安全策略:
建立入侵防御配置文件:
查看覆盖情况:
最后是例外签名:
实验到这里基本就完成了。
安全防御-----IDS相关推荐
- 安全防御——IDS(入侵检测系统)
安全防御--IDS(入侵检测系统) IDS介绍 为什么需要IDS IDS的工作原理 IDS的工作过程 第一步:信息收集 第二步:数据分析 IDS的主要检测方法 1.模式匹配(误用检测) 2.统计分析( ...
- 都这麽大了还不快了解IDS?
目录 一.思考 二.实验 1.实验拓扑 2.实验步骤 2.1 配置防火墙 2.2 外网配置 2.3 内网配置 2.4 安全策略 2.5 测试 三.总结 什么是IDS? IDS和防火墙有什么不同? ID ...
- 网络安全中英文术语大全
网络安全中英文术语大全 A 01享级持久感动(APT) 一种阿络攻击.使用复杂的技术持续对目标 政府和公司进行网络间谍活造或其他咨意活 动.遗常由具有丰富专业知识和大量安渗的 对手进行-通营与民族国家 ...
- 2021在职技术提升规划-1 Java架构II
2021在职技术提升规划-1 Java架构II ...
- 大数据主要概念股一览
原文地址:大数据主要概念股一览 作者:热点 继物联网.云计算.互联网移动互联网之后,"大数据"(BigData)主题投资近日在业内引起高度关注,最早提出"大数据" ...
- Java高级开发学习大纲
作者:田超凡 原创博文,严禁复制,仅供内部使用参考,仿冒必究 技术内训大纲: 阶段一:架构设计方法论与心法 第1周 软件架构设计导论 本周将带大家一起构建软件架构整体认知,内容包括:软件架 ...
- 安全防御 --- 入侵检测 --- IDS、IPS
入侵检测 1.入侵检测经典理论 系统访问控制要针对三类用户 (1)合法用户 (2)伪装 --- 攻破[流程控制](超出了合法用户的行为范围) 身份仿冒(可能是最早提出不能仅依赖于身份认证,还要加强行为 ...
- 安全防御(三)--- IDS、防火墙入侵防御
目录 一.什么是IDS? 二.IDS和防火墙有什么不同? 三.IDS工作原理? 四.IDS的主要检测方法有哪些详细说明? 五.IDS的部署方式有哪些? 六.IDS的签名是什么意思?签名过滤器有什么作用 ...
- IDS入侵检测IPS入侵防御
学习笔记 什么是入侵 入侵检测系统-IDS IDS特点 主动发起检测 检测入侵特征-发送通知到阻断设备 通常情况下旁挂 在企业网络中,和防火墙联动 传统fw加IDS弊端 入侵防御系统-IPS IDS与 ...
最新文章
- 泛型java 代码讲解_Java泛型详解
- POJ 1149 PIGS
- linux中mysql导入文件,linux下mysql导入sql文件命令
- 数据结构概念及连续存储数组的算法演示
- 大话设计の设计原理摘要(二)
- 2011通信展:应用为王 国内3G终端企业集体发力
- 电脑桌面图标文字有蓝底怎么去掉?
- Cadence OrCAD Capture CIS 输出带属性的PDF原理图
- 微信小程序:日期转化为时间戳+时间戳转化为日期(最全最实用)
- switch中的参数类型
- html5 css3 jquery 画板
- 神经网络学习----如何利用训练好的神经网络模型进行预测
- 智策网的泸州止盈,行情的结束以放量信号而结束的
- fastjson 序列化 不包括转义字符_fastjson黑盒测试与白盒审计
- 灵活使用ssh、dsh和pssh高效管理大量计算机
- 万龙机器人_星辰血途-108.百年仇恨(4)万龙朝苍-爱阅小说网
- Yeelink:将复杂的传感器以极简的方式组到同一个网络内
- 聚类分析-层次聚类(Hierarchical Clustering)在生物信息学中的应用
- tinyalsa(tinymix/tinycap/tinyplay/tinypcminfo)
- JavaIO流_下(NIO.2中Path、Paths、Files类的使用)