入侵检测系统
(简称IDS,IDS是一种积极主动的安全防护技术)
概念IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,以防违反安全策略或进行恶意活动。
通俗比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。
分类根据数据源分类- 基于主机的入侵检测系统(HIDS)
可检测以下入侵行为:
- 针对主机的端口或漏洞扫描
- 重复失败的登入尝试
- 远程口令破解
- 主机系统的用户账号添加
- 服务启动或停止
- 系统重启动
- 文件的完整性或许可权变化
- 注册表修改
- 重要系统启动文件变更
- 程序的异常调用
- 拒绝服务攻击
典型产品:
- 北信源主机监控审计系统
- 360安全卫士
- EDR
- 基于网络的入侵检测系统(NIDS)
可检测以下入侵行为:
- 同步风暴(SYN Flood)
- 分布式拒绝服务攻击(DDoS)
- 网络扫描
- 缓冲区溢出
- 协议攻击
- 流量异常
- 非法网络访问
- 误用入侵检测:
根据已知的入侵模式检测入侵行为,其能力依赖攻击模式库;
- 异常入侵检测:
通过计算机或网络资源统计分析,建立系统正常行为的“轨迹”,再得出是否有被攻击的迹象。
根据体系结构分类- 集中式
- 等级式
- 协作式
- 离线检测。
- 在线监测。
- 监控、分析用户和系统的活动
获取进出某台主机及整个网络的数据,来监控用户和系统的活动。
- 发现入侵企图或异常现象
对进出网络的数据流进行监控,查看是否存在入侵行为;
评估系统关键资源和数据文件的完整性,查看是否已经遭受了入侵行为。
- 记录、报警和响应
对不同的攻击,首先应该记录它们的基本情况,然后再做出相应的响应。
指标- 可靠性
- 可用性
- 可扩展性
- 时效性
- 准确性
- 安全性
具体步骤如下:
- 根据组织或公司的安全策略要求,确定IDS要监测的对象或保护网段;
- 在监测对象或保护网段,安装IDS探测器,采集网络入侵检测所需要的信息;
- 针对监测对象或保护网段的安全需求,制定相应的检测策略;
- 针对检测策略,选用合适的IDS结构类型;
- 在IDS上,配置入侵检测规则;
- 测试验证IDS的安全策略是否正常运行;
- 运行维护IDS
相关知识点:
DDoS攻击:哪类网络攻击最“无耻”?
版权问题:请尊重版权,转载请注明来源。--磊氏信息安全
