IDS原理、检测方法以及部署方式

这篇具有很好参考价值的文章主要介绍了IDS原理、检测方法以及部署方式。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

什么是IDS

对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统
IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器
IDS原理、检测方法以及部署方式

IDS和防火墙的不同

IDS(入侵检测系统)是一种主动防御技术,它通过监控网络流量、日志等信息来检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出警报
防火墙则是一种被动防御技术,它通过限制网络流量来保护网络安全,如限制端口、IP地址、协议等

IDS的工作原理

IDS(入侵检测系统)的工作原理是通过监控网络流量、日志等信息来检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出警报。
IDS可以分为两种类型:

  • 基于主机的IDS和基于网络的IDS。基于主机的IDS是安装在主机上的软件,它可以监控主机上的进程、文件、注册表等信息,以便及时发现异常行为
  • 基于网络的IDS则是安装在网络上的设备,它可以监控网络流量,以便及时发现异常行为。

IDS的主要检测方法

异常检测:当一个时间和已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。

特征检测:IDS的核心是特征库(签名)

签名用来描述入侵行为的特征,通过比较行为特征和签名进行入侵检测

异常检测模型(白名单)

  • 总结正常主机的行为活动特征(用户轮廓),用户行为与正常行为有着重大偏离时,则判定是入侵

误用检测模型(特征检测 — 黑名单)

  • 总结非正常主机的行为活动特征,当用户行为或者系统行为符合特征时,判定时入侵行为
    IDS原理、检测方法以及部署方式

IDS的部署方式

IDS(入侵检测系统)的部署方式有两种:集中式和分布式

集中式部署方式是将IDS设备集中部署在网络的核心位置,通过监控网络流量、日志等信息来检测网络中的异常行为,并及时发出警报
分布式部署方式则是将IDS设备分散部署在网络的各个位置,通过监控网络流量、日志等信息来检测网络中的异常行为,并及时发出警报

IDS签名、签名过滤器、例外签名

签名:用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。

签名过滤器作用:

签名过滤器 是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将 IPS 特征库中适用
于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于
筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过
滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名配置作用:
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文 所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单文章来源地址https://www.toymoban.com/news/detail-482545.html

到了这里,关于IDS原理、检测方法以及部署方式的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 易懂的方式讲解ARM中断原理以及中断嵌套方法

    ARM有七种模式,我们这里只讨论SVC、IRQ和FIQ模式。  我们可以假设ARM核心有两根中断引脚(实际上是看不见的),一根叫 irq pin, 一根叫fiq pin。在ARM的cpsr中,有一个I位和一个F位,分别用来禁止IRQ和FIQ。  先不说中断控制器,只说ARM核心。正常情况下,ARM核都只是机械地随着

    2024年01月21日
    浏览(38)
  • OWASP TOP 10漏洞的原理 和攻击方式以及防御方法

    OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)组织发布的当前最严重、最普遍的10种Web应用程序安全漏洞。以下是每种漏洞的原理、攻击方式和防御方法。 注入漏洞(Injection) 原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 攻击方式:SQL注

    2024年02月07日
    浏览(58)
  • 脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复

    可以这样建立一个仅使用SSLv2协议及其密码算法的服务器: httpd.conf SSLProtocol -all +SSLv2 SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP 3、 如何建立一个仅接受强加密请求的SSL服务器: 如下设置为仅使用最强的七种密码算法: httpd.conf SSLProtocol all SSLCipherSuite HIGH:MEDIUM 4、 如何建立一个仅接受

    2024年04月13日
    浏览(56)
  • git版本控制系统以及项目部署方法

     git只适合开源的软件,安全性 不行  svn集中式版本控制系统必须联网才能工作,如果在局域网内还好,带宽够大,速度够快,可如果在互联网上,遇到网速慢的话,呵呵。分布式版本控制系统可以不连网工作,因为版本库就在你自己的电脑上。·集中式版本控制系统如果中央

    2023年04月08日
    浏览(41)
  • 设备安全——入侵检测IDS

    IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性) 设备本身(IDS系统)是一个软件与硬件的组合系统。 IDS的作用:实时监测 经典检测模型 通用的入侵检测系统抽象模型 ● 主

    2024年02月08日
    浏览(46)
  • 入侵检测——IDS概述、签名技术

    IDS(intrusion detection system)入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它会对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全。 入侵检测系统模型: 检测器: 分析和

    2024年02月15日
    浏览(42)
  • 安全防御 --- 入侵检测 --- IDS、IPS

    系统访问控制要针对三类用户 (1) 合法用户 (2) 伪装 --- 攻破[流程控制](超出了合法用户的行为范围) 身份仿冒(可能是最早提出不能仅依赖于身份认证,还要加强行为监控以防范身份仿冒和滥用的学者) (3) 秘密用户 --- 攻破[逻辑控制] --- 后门 (相当于一个摄像头

    2024年02月06日
    浏览(55)
  • 【IDS场景模拟】suricata检测HTTPS流量

    针对HTTPS流量来说,毕竟不是攻击流量,而是互联网通信的标配,所以服务器端是可以解密的,解密后变成明文HTTP协议,就可以很好地实现入侵检测了。所以,要处理HTTPS流量,最关键的是,先解密HTTPS数据包,才对其进行入侵检测,通常的解决方案有两种:一是直接在代码层

    2024年04月26日
    浏览(27)
  • shiro漏洞原理以及检测key值原理

    Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。 升级shiro版本并不能根本解决反序列化漏洞,代码复用会直

    2024年02月06日
    浏览(48)
  • 常用的检测数据异常值方式,以及异常数据如何处理!!

    箱线图检测 :箱线图是一种常用的异常值检测方法,它以数据的分位数为基础,通过上下四分位距来判断数据是否异常。根据箱线图,可以识别出在上下触须之外的数据点,这些点通常是异常值。 3σ原则剔除 :3σ原则是一种基于数据的均值和标准差的统计方法,用于判断数

    2024年02月02日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包