设备安全——入侵检测IDS

这篇具有很好参考价值的文章主要介绍了设备安全——入侵检测IDS。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1. 什么是IDS?

IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性)

设备本身(IDS系统)是一个软件与硬件的组合系统。

IDS的作用:实时监测

经典检测模型
通用的入侵检测系统抽象模型
● 主体(subject)
● 对象(object)
● 审计记录(audit record)
● 活动档案(profiles)
● 异常记录(anomoly records)
● 活动规则(activity rules)

入侵检测经典理论
系统访问控制要面对三类用户
● 合法用户
● 伪装–攻破【流程控制】
1、身份仿冒(可能是最早提出不能依赖于身份认证,还要坚强行为为监控以防
● 秘密用户
1、后门

2. IDS和防火墙有什么不同?

2.1 检测与监测

防火墙一般是一次性检查:检测系统

检测:一次性检查

IDS系统:实时监测系统

监测:长时间的检测

防火墙主要是对外防御,这是针对攻击的被动防御,主要目的是保护内网用户
IDS主要是对内部的检测,IDS会主动寻找潜在的攻击者,主要是发现入侵行为

2.2 设备所处点不同

防火墙是在内网和外网之间的一道防御系统
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作

2.3 作用点不同

通过了防火墙的数据防火墙就不能进行其他操作
入侵检测(IDS) 是防火墙的有力补充,形成防御闭环,可以及时、正确、全面的发现入侵,弥补防火墙对应用层检测的缺失

2.4 动作不同

防火墙可以允许内部的一部分主机被外部访问
IDS只有监视和分析用户和系统的活动、行为

3. IDS工作原理?

3.1、IDS分为实时入侵检测和事后入侵检测:

1 实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。

2 事后入侵检测:由安全人员进行检测。

3.2、入侵检测分类:

1 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。

2 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。

3.3、入侵检测技术途径:

1 信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。

2 数据分析:

4. IDS的主要检测方法有哪些详细说明?

4.1 异常检测模型 (Anomaly Detection)

首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
优点
● 不需要专门的操作系统缺陷特征库
● 有效检测对合法用户的冒充检测
缺点
● 建立正常的行为为轮廓和确定异常行为轮廓的阀值困难
● 不是所有的入侵行为都会产生明显的异常
误用检测

4.2 误用检测模型(misuse detection)

收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测(Signature-based detection)。
优点
● 可检测所有已知入侵行为。
● 能够明确入侵行为并提升防范方法
缺点
● 缺乏对未知入侵行为的检测
● 对内部人员的越权行为无法进行检测

5. IDS的部署方式有哪些?

设备安全——入侵检测IDS

旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像带IDS旁挂口。也可以使用集线器、分光器实现流量复制。【即使是IPS也会有旁挂】

部署方式有:
1、共享和交换模式:在交换机或HUB设备上做端口镜像
2、隐蔽模式:将探测器的探测口IP去除,IDS将对外不可见
3、Tap模式:双向监听全双工以太网中网络通信信息,捕捉网络中所有能力,记录完整的状态信息与防火墙联动发送reset包
4、In-line模式:将IDS串联在通信接口上,位于交换机和路由器之间,该情况下可以将威胁通信包丢弃,实时阻断网络攻击
5、混合模式:通过监听所有连接到防火墙的网段,全面了解网络状态

6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

6.1 IDS的签名

IDS的签名是用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。

IPS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。

6.2 签名过滤器作用

签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
1、阻断:丢弃命中签名的报文,并记录日志。
2、告警:对命中签名的报文放行,但记录日志。
3、采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

6.3外签名配置作用

由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
1、阻断:丢弃命中签名的报文并记录日志。
2、告警:对命中签名的报文放行,但记录日志。
3、放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。文章来源地址https://www.toymoban.com/news/detail-481660.html

到了这里,关于设备安全——入侵检测IDS的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全之入侵检测系统

    入侵 :指一系列试图破坏信息资源 机密性 、 完整性 和 可用性 的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。 入侵检测 :是通过从计算机网络系统中的若干 关键节点 收集信息,并 分析 这些信息,监控网络中是否有违反安全策略的行为或者是

    2024年02月13日
    浏览(51)
  • 网络安全产品之认识入侵检测系统

    随着计算机网络技术的快速发展和网络攻击的不断增多,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。因此,入侵检测系统作为新一代安全保障技术,成为了传统安全防护措施的必要、有效的补充。《安全防御

    2024年01月21日
    浏览(59)
  • 【网络安全】2.2 入侵检测和防御系统

    入侵检测和防御系统(Intrusion Detection and Prevention Systems,简称IDPS)是网络安全的重要组成部分。它们可以帮助我们发现并阻止网络攻击。在本篇文章中,我们将详细介绍IDPS的工作原理,类型,如何配置和使用IDPS,以及如何处理IDPS发现的威胁。 入侵检测和防御系统是一种设

    2024年02月08日
    浏览(48)
  • 入侵检测——IDS概述、签名技术

    IDS(intrusion detection system)入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它会对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全。 入侵检测系统模型: 检测器: 分析和

    2024年02月15日
    浏览(42)
  • Snort入侵检测系统实验

    实验内容 搭建网络防御环境 学习使用检测工具Snort 对网络进行攻击,查看和分析网络防御工具报告 对实验结果进行分析整理,形成结论 安装入侵检测系统 Snort 安装daq依赖程序,输入如下命令: sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install l

    2023年04月19日
    浏览(45)
  • 车载软件架构 —— 车载软件入侵检测系统

    我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 没有人关注你。也无需有人关注你。你必须承认自己的价值,你不能站在他人的角度来反对自己。人生在世,最怕的就是把别人的眼光当成自

    2024年02月14日
    浏览(48)
  • 【论文阅读】xNIDS:可解释的基于深度学习的网络入侵检测系统的主动入侵响应(USENIX-2023)

      基于深度学习的网络入侵检测系统(DL-NIDS)得到了显著的探索,并显示出卓越的性能,但存在两个问题: 检测结果和可操作的解释之间存在语义差距,不足以对检测到的入侵作出积极的回应 高错误成本使网络运营商不愿意仅仅根据检测结果做出反应(即高误报带来的警

    2024年02月05日
    浏览(55)
  • 【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)

    作者:伊利诺伊大学芝加哥分校-Akul Goyal、Gang Wang、Adam Bates;维克森林大学-Xueyuan Han、 引用:Goyal A, Han X, Wang G, et al. Sometimes, You Aren’t What You Do: Mimicry Attacks against Provenance Graph Host Intrusion Detection Systems[C]//30th Network and Distributed System Security Symposium. 2023. 原文地址:https://www.n

    2024年02月13日
    浏览(45)
  • 高项(3)信息化和信息系统基础知识2-移动互联网-安全属性-安全层次-安全保护等级-加密技术-防火墙-入侵检测-DDN-蜜罐技术-无线网络安全-Web威胁防护技术-运行维护信息系统生命周期-软件测试V

    27.在大数据研究中,数据之间的关联关系比因果关系更重要 28.移动互联网的核心是互联网,移动互联网是桌面互联网的补充和延伸,应用和内容仍是移动互联网的根本。 29.安全属性 秘密性:信息不被未授权者知晓的属性; 完整性:信息是正确的、真实的、未被篡改的、完整

    2024年04月14日
    浏览(62)
  • 三种图神经网络(GGNN GCN GAT)关于入侵检测系统的应用

    消息传递是指在图神经网络(Graph Neural Network,GNN)中,从节点向邻居节点传递信息的过程。这个过程通常被称为“ 消息传递步骤 ”或“信息传播步骤”。 在消息传递步骤中,每个节点将自身的特征和邻居节点的特征合并,并计算出一个新的节点表示,然后将这个新的节点

    2024年02月04日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包