第四次安全作业

1. 什么是IDS?

IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。在发现可疑传输时发出警报或者采取主动反应措施,IDS是一种积极主动的安全防护技术,是一个软件与硬件的组合系统。

 


2. IDS和防火墙有什么不同?

防火墙:是一种被动静态的防守,能够对外部一到四层的数据包流量的攻击进行拦截,无法处理内部的网络攻击

IDS:是一种主动积极的防守,实时检测网络系统的非法行为,持续地监视、分析网络中所有的数据报文,发现并及时处理所捕获 的数据报文。能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵,并能采取相应的 措施及时中止这些危害,如提示报警、阻断连接、通知网管等。 其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行 为或用户滥用、统计并分析异常行为、对系统日志的管理维护


3. IDS工作原理?

通过对网络流量的持续监视,分析,对流量中的数据包进行实时监控,分析,审计检测网络中的异常行为,并进行报告警示,来保障网络的安全性

4. IDS的主要检测方法有哪些详细说明?

异常检测:

又称为基于行动的入侵检测技术。收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵
收集正常操作应具有的特征,当用户操作与正常操作有重大的偏移时,则认为是入侵行为被告警,记录日志,构建用户正常行为描述的难度大
第四次安全作业_第1张图片

误用检查

又称基于知识的检测技术。对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。

收集非正常操作具有的特征,构建相关特征库,当用户或系统行为与特征库中的行为匹配时,则认为是入侵行为,误用检测能检测对已知的入侵行为进行防范,无法对未知的入侵行为进行检测

第四次安全作业_第2张图片


5. IDS的部署方式有哪些?

直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点

单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS

旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御

第四次安全作业_第3张图片
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

IDS的签名:

入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用:

由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

例外签名作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

你可能感兴趣的:(安全)