IDS(inteusion detection system)入侵检测系统
对系统的运行状态进行监视、发现各种攻击企图、过程、结果、发送警告,用于保护系统资源。保证系统的机密性、完整性、可用性。是一个软件与硬件的有机结合体。
IDS工作原理:
- 识别入侵者(他是谁)
- 识别入侵行为(他在干什么)
- 检测和监视已成功的入侵(把他看住盯住他往哪去)
- 为对抗入侵提供信息与依据,防止时态扩大(限制他的活动范围)
异常检测的检测方法
异常检测:(偏离)
- 当某个时间与一个某个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS会告警。
误用检测模型:(匹配)
- 收集非正常操作的行为特征,建立相关的特征数据库,当检测的用户或系统行为与库中的记录匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测
特征:IDS核心是特征库(签名)
签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为
签名过滤器用于对目标的数据进行想要的操作
- 例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。 如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些篷名引入到例外签名中,并单独配置动作。 - 例外签名的动作分为:
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
异常检测和误用检测的优缺点
IDS的部署方式
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
入侵检测与防火墙
- 检测方式
防火墙用于检测外部数据访问,它的检查是很完整的但是是暂时性的。
IDS系统用于实时监测数据的,它能够一直监控数据流量 - 工作用途
防火墙可以对数据采取措施,阻断,放行等等
入侵检测系统只能告警而不能采取措施 - 将防火墙的功能最大化(防火墙的寻血猎犬)
- 入侵检测是防火墙的有力补充、形成防御闭环、即时、准确、全面的发现处理入侵。弥补防火墙对应用层检查的缺失。
杀毒软件与IDS差异
- 杀毒软件可以扫描压缩文件来查看威胁
- 两者的工作区域不同,杀毒软件的工作区域是电脑,而防火墙就是一道建立在电脑和网络之间的“墙”,它工作在计算机和它连接的网络中间,杀毒软件是监视您计算机内的软件,实施监视,只要是进入计算机的文件都会经过杀毒软件的认可,而安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。
- 两者针对的危险不同,杀毒软件的主要任务就是查杀进入到计算机的病毒(这个“病毒”是统称,现在比较流行的木马等一些后门程序都包括在内),而防火墙则主要用来防御黑客攻击。
- 两者工作机理不同,当系统遭遇黑客攻击时,杀毒软件无法对系统进行保护,因为杀毒软件可以识别的病毒是可执行代码,而黑客攻击多为数据包形式,阻击数据包攻击,这是防火墙的拿手活,同样地,对于进入到计算机的任何病毒,防火墙是视若无睹的,虽然有些防火墙号称是“病毒防火墙”,但是它仅仅提供了监控,还是无法杀掉病毒。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
