安全设备篇—什么叫IDS

admin 2023年1月10日12:04:48评论71 views字数 1898阅读6分19秒阅读模式

IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"

1什么是IDS?

IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。

大家还记得「网络安全」安全设备篇(1)——防火墙吗?做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

安全设备篇—什么叫IDS在本质上,入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

2IDS模型

按侵检测的手段,IDS的入侵检测模型可分为基于网络基于主机两种。安全设备篇—什么叫IDS

基于主机模型

也称基于系统的模型,它是通过分析系统的审计数据来发现可疑的活动,如内存和文件的变化等。其输入数据主要来源于系统的审计日志,一般只能检测该主机上发生的入侵。这种模型有以下优点:

  • 性能价格比高:在主机数量较少的情况下,这种方法的性能价格比更高;更加细致:可以很容易地监测一些活动,如敏感文件、目录、程序或端口的存取,而这些活动很难基于协议的线索发现;
  • 视野集中:一旦入侵者得到了一个主机用户名和口令,基于主机的代理是最有可能区分正常活动和非法活动的;易于用户剪裁:每一个主机有自己的代理,当然用户剪裁更加方便;
  • 较少的主机:基于主机的方法有时不需要增加专门的硬件平台;
  • 对网络流量不敏感:用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。

基于网络模型

即通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式,以此来判别是否为入侵者。当该模型发现某些可疑的现象时,也一样会产生告警,并会向一个中心管理站点发出告警信号。这种模型有以下优点:

  • 侦测速度快:基于网络的监测器,通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠最近几分钟内审计记录的分析;
  • 隐蔽性好:一个网络上的监测器不像主机那样显眼和易被存取,因而也不那么容易遭受攻击;
  • 视野更宽:基于网络的方法甚至可以作用在网络边缘上,即攻击者还没能接入网络时就被制止;
  • 较少的监测器:由于使用一个监测器可以保护一个共享的网段,所以不需要很多的监测器;
  • 占资源少:在被保护的设备上不占用任何资源,这点较主机模型最为突出。

3IDS分类

根据模型和部署方式的不同,IDS分为基于主机的IDS、基于网络的IDS,以及由两者取长补短发展而来的新一代分布式IDS。

基于主机的IDS

输入数据来源于系统的审计日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行,监视操作系统或系统事件级别的可疑活动(如尝试登录失败)。此类系统需要定义清楚哪些是不合法的活动,然后把这种安全策略转换成入侵检测规则。

基于网络的IDS

基于网络的IDS的输入数据来源于网络的信息流,该类系统一般被动地在网络上监听整个网段上的信息流,通过捕获网络数据包,进行分析,能够检测该网络段上发生的网络入侵。

分布式IDS

一般由多个部件组成,分布在网络的各个部分,完成相应功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对整网络上的主机的入侵。安全设备篇—什么叫IDS

4IDS作用

  • 监控、分析用户及系统活动。对系统构造和弱点的审计。
  • 识别反映已知进攻的活动模式并报警。
  • 异常行为模式的统计分析。
  • 评估重要系统和数据文件的完整性。
  • 对操作系统的审计追踪管理,并识别用户违反安全策略的行为。


如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)

查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

原文始发于微信公众号(橘猫学安全):安全设备篇—什么叫IDS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月10日12:04:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全设备篇—什么叫IDShttp://cn-sec.com/archives/1509618.html

发表评论

匿名网友 填写信息