1. 什么是IDS?
IDS是:入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
2. IDS和防火墙有什么不同?
IDS和防火墙的区别:防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护的网络有害的流量或数据包)的设备。而IDS则是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
3. IDS工作原理?
IDS作用与原理:
由图我们可以看见到保护系统有外部流量和内部流量,外部流量和内部流量都需要经过ids的检测,也可能有扫描系统,但是现在大部分的扫描系统都被集成在ids系统上了。
工作过程:
识别入侵者
识别入侵行为
检测和监视已成功的入侵
为对抗入侵提供信息与依据,防止时态扩大
当ids发现有病毒的时候,它就会通知防火墙干掉这个流量,ids起到警报和警告的作用。可以及时,准确,全面的发现入侵,弥补防火墙对应用层检查的缺失。
4. IDS的主要检测方法有哪些详细说明?
IDS的主要检测方法有:
1)、异常检测:当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事情在轮廓以外,就认为是异常,IDS就会告警。
特征:IDS核心是特征库(签名),符合特征库的就被干掉。
2)、误用检测:收集非正常操作的行为特征,建立相关的特征库,当检测的用户或者系统行为库中的记录相匹配时,系统就默认这种行为是入侵误用检测模型也称为特征检测。
这两种检测优缺点:
5. IDS的部署方式有哪些?
IDS产品采用的是 旁路部署方式(旁路其实可以理解一个流量终端,用到旁挂我们就需要用到镜像端口功能,将我们需要检测的流量copy到旁挂的端口) ,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器、集线器)
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名就是特征的意思,入侵防御签名用来描述网络中存在的攻击行为的特征。
签名过滤器:通俗来讲就是有一堆流量的时候,你只希望选择符合你要求的某一些流量进入,不符合要求的阻难。定义这些要求的工具,就是签名过滤器。
例外签名的配置作用:例如我们设置了很多签名,这些签名都匹配上了动作,但是某个签名有误报,就导致我们一些正常的流量无法获取,所以我们想某个签名放行,这就用到列外签名。
复现上课演示实验
协议异常检测:
签名过滤检测:
防御攻击也可以选择已经有的预设配置。
也可以自己去复制自带的防御文件然后自己去修改:
例外签名的配置:
先去找到你想放行签名的ID:
然后去配置放行:
特征库也可以随时更新升级:
