Marca de tiempo: 15:44:01, 13 de octubre de 2020
Resumen preliminar: conceptos, clasificación y estándares de evaluación de IDS e IPS
ID es la abreviatura de "Intrusion Detection Systems" en inglés, y en chino significa "Intrusion Detection Systems".
En la industria, es monitorear el estado de operación de la red y el sistema a través de software y hardware de acuerdo con una determinada estrategia de seguridad.
En la medida de lo posible, se deben descubrir varios intentos de ataque, comportamientos de ataque o resultados de ataque para garantizar la oportunidad de los recursos del sistema de red.
Confidencialidad, integridad y disponibilidad. Metáfora de hacer una imagen: si el cortafuegos es la cerradura de la puerta de un edificio, entonces
Ds es el sistema de vigilancia de este edificio. Una vez que el ladrón sube por la ventana para entrar al edificio, o la información privilegiada ha cruzado la línea
Solo el sistema de monitoreo en tiempo real puede detectar la situación y emitir una advertencia.
psIDS es equivalente a monitoreo, firewall es equivalente a bloqueo, la seguridad es IPS, solo una detección de alarma
El origen de IDS
IDS basado en red de PS e IDS basado en host, operaciones de puerto espejo relacionadas.
Re-inteligencia y desarrollo distribuido.
Principios de detección de intrusos
PD Antes y después del evento, desconecte, recopile pruebas e implemente la recuperación de datos.
--Modelo general de detección de intrusos
La clasificación de la detección de intrusos se basa en la red (en uso real)
La clasificación de la fuente de información de la detección de intrusiones de PS es adecuada para menos hosts. Menos monitores, menos recursos,
PS se basa en la comparación de funciones.
Sección 58:
Proceso de detección de intrusos
2) Haga coincidir el encabezado del paquete de datos de la red
Realizar análisis de datos, tres
Juicio de situación anormal []
Coincidencia de patrones, análisis estadístico, análisis de integridad
Sección 60: Indicadores de desempeño y criterios de evaluación de IDS
Coincidencia del rendimiento del equipo y las fuentes de datos correspondientes
Indicadores de evaluación: falsos negativos y falsos positivos, buenos productos
Sección 60: IPS --- Sistema de prevención de intrusiones
Sección 61:
¿Cómo evalúa PS el sistema de prevención de intrusiones?