网络安全 第三次作业

1.什么是IDS?

IDS(入侵检测系统):入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。

入侵检测主要面对的三类用户:

  • 合法用户

  • 伪装用户

  •  秘密用户   

2.IDS和防火墙有什么不同?

防火墙是针对黑客攻击的一种被动的防御,旨在保护;IDS则是主动出击寻找潜在的攻击者,发现入侵行为 防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统 防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补 防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动 入侵检测的模型:

  • 主体

  • 对象

  • 审计记录

  • 活动档案

  • 异常记录

  • 活动规则

3. IDS工作原理?

入侵检测作用与原理:

 

  • 识别入侵者
  • 识别入侵行为
  • 检测和监视已成功的入侵
  • 为对抗入侵提供信息与依据,防止时态扩大 

4. IDS的主要检测方法有哪些详细说明?

 

异常检测模型(Anomaly Detection)

首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。 误用检测模型(Misuse Detection)

收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测

5.IDS的部署方式有哪些?

共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。 隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作 Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易 In-Iine模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击 混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

6.IDS的签名是什么意思?

签名过滤器有什么作用?例外签名配置作用是什么? IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用:由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

签名过滤器的动作:

阻断:丢弃命中签名的报文,并记录日志 告警:对命中签名的报文放行,但记录日志。 采用签名的缺省动作,实际动作以签名的缺省动作为准 例外签名:

作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

阻断:丢弃命中签名的报文并记录日志

告警:对命中签名的报文放行,但记录日志

放行:对命中签名的报文放行,且不记录日志。

 

 

 

 

你可能感兴趣的:(web安全,网络,数据库)