IDS入侵检测系统
赞
踩
1.IDS的概念
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性,机密性,可靠性),是一个软件与硬件组合的系统。
2.IDS的工作原理和作用
工作原理:
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而 IDS 监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
作用:
- 识别入侵者
- 识别入侵行为
- 检测和监视已成功地入侵
- 为对抗入侵提供信息与依据,防止时态扩大
3.IDS和防火墙的对比
入侵检测 技术 (IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。 传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。
所以IDS和防火墙是一对“好搭档”,IDS可以对恶意流量进行监控,检测并报警,防火墙再将IDS检测出来的恶意流量进行阻断。
4. IDS的主要检测方法
异常检测模型和误用检测模型
5. IDS的部署方式
IDS产品采用的是旁路部署方式,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器)。 每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量,部署在其他交换机下的主机间的流量无法被监听。
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。
6. IDS的签名
IDS的签名: 入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器的作用
- 阻断:丢弃命中签名的报文,并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名配置的作用
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
7.IDS的总体配置顺序
IDS配置实验
实验拓扑
新建入侵防御配置文件
引用入侵配置配置文件
由于华为ensp模拟器无法加载特征库,暂无演示结果
