IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大型企业,政府机构,都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上。
IDS的接入方式:并行接入(并联)
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源。
这些位置通常是:
必然性:
作用:
按入侵检测形态
按目标系统的类型
按系统结构
1、误用检测技术 基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
前提:所有的入侵行为都有可被检测到的特征。
指标:误报低、漏报高。
攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
优点
关键问题
2、异常检测技术 基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
前提:入侵是异常活动的子集。指标:漏报率低,误报率高。
用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。
特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
优点
关键问题
主动响应: 入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。
形式:
基本手段:
被动响应: 入侵检测系统仅仅简单地报告和记录所检测出的问题。
形式:只向用户提供信息而依靠用户去采取下一步行动的响应。
基本手段:
[ HIDS和NIDS的区别:https://blog.51cto.com/mtbaby/1551049 ]
局限性:
局限性:
[ 表格来源:https://www.cnblogs.com/sztom/p/10217345.html ]
IDS | HIDS/NIDS | Unix | Linux | Windows | MacOS | 备注 | |
---|---|---|---|---|---|---|---|
1 | Snort | NIDS | Yes | Yes | Yes | No | 思科创建 |
2 | OSSEC | HIDS | Yes | Yes | Yes | Yes | |
3 | Suricata | NIDS | Yes | Yes | Yes | Yes | Snort的替代品 |
4 | Bro | NIDS | Yes | Yes | No | Yes | |
5 | Sagan | Both | Yes | Yes | No | Yes | OSSEC的替代品 |
6 | Security Onion | Both | No | Yes | No | No | |
7 | AIDE | HIDS | Yes | Yes | No | Yes | |
8 | Open WIPS-NG | NIDS | No | Yes | No | No | |
9 | Samhain | HIDS | Yes | Yes | No | Yes | |
10 | Fail2Ban | HIDS | Yes | Yes | No | Yes |
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/184267.html原文链接:https://javaforall.cn