1. 什么是IDS?
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
2. IDS和防火墙有什么不同?
防火墙是针对黑客攻击的一种被动的防御,旨在保护;IDS则是主动出击寻找潜在的攻击者,发现入侵行为。
防火墙是设置在保护网络(本地网络)和外部网络(主要是Internet)之间的一道防御系统。
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;
防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。
3. IDS工作原理?
基于网络的IDS(实时,在线):
网络流量进入IDS后,IDS会对流量进行分析和比较,通过使用已知的模式和规则匹配、特征检测等方式,判断流量是否存在与已知攻击相似的攻击行为。
基于主机的IDS(被动,离线):
主机IDS也被称为HIDS。它在单个主机上运行,监视主机上的操作和事件,通过分析主机行为并将其与重要数据进行比较来检测可能的入侵事件。
4. IDS的主要检测方法有哪些详细说明?
攻击检测
入侵检测类似于治安巡逻队,专门注重发现形迹可疑者
被动、离线地发现计算机网络系统中的攻击者。
实时、在线地发现计算机网络系统中的攻击者。
异常检测
(1) 统计异常检测方法:
根据用户对象的活动为每个用户都建立一个特征轮廓表,通过对当前特征与以前已经建立的特征进行比较,来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新,其保护去多衡量指标,这些指标值要根据经验值或一段时间内的统计而得到。
(2) 特征选择异常检测方法:
从一组特征值中选择能够检测出入侵行为的特征值,构成相应的入侵特征库,用于预测入侵行为。其关键之处是能否针对具体的入侵类型选择到合适的特征值,因此理想的入侵检测特征库需要能够进行动态的判断。
(3) 基于贝叶斯网络异常检测方法:
通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。
(4)基于贝叶斯推理异常检测方法:
通过在任何给定的时刻,测量变量值,推理判断系统是否发生入侵事件。
(5) 基于模式预测异常检测方法:
事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件,其特点是事件序列及相互联系被考虑到了,只关心少数相关安全事件是该检测法的最大优点。
误用检测
又称特征检测,IDS通常使用的两种基本分析方法之一,又称基于知识的检测技术。对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。
(1)基于条件的概率误用检测方法
(2)基于专家系统误用检测方法
(3)基于状态迁移分析误用检测方法
(4)基于键盘监控误用检测方法
(5)基于模型误用检测方法
5. IDS的部署方式有哪些?
网络边界部署:IDS部署在网络边界,进行攻击流量的监视和拦截。该方式适用于对外开放服务的网络环境,如Web服务器等。优点是可以在攻击进入内部网络之前进行检测和保护,缺点是无法在内部网络中检测到攻击。
内部流量部署:IDS将网络流量全部通过镜像端口或TAP端口转发到IDS设备进行检测和监视。该方式可以检测网络中所有的非授权活动、内部攻击以及各种信息泄露事件。
分布式部署:IDS安装在多个地点,监测与其所在位置相关的网络流量。该方式可以提高整个网络的安全性以及可靠性,缺点是维护成本较高。
混合部署:IDS与其他安全设备(如防火墙、IPS等)一起部署,在保护网络安全方面发挥协同作用。
主机内部部署:也称为HIDS(主机入侵检测系统),部署在所需保护的主机上,可以对主机中的各种异常行为进行检测和防御。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
(1)IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
(2)签名过滤器的作用:签名过滤器是若干签名的集合,根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
(3) 例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名作用:了更加细化的进行流量的放行,精准的控制。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单