入侵检测-IDS

news2024/11/14 1:31:00

1. 什么是IDS?

IDS(intrusion detection system)入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它会对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全。

检测器: 分析和检测入侵的任务并向控制器发出警报信号

数据收集器: 主要负责收集数据

知识库: 为检测器和控制器提供必需的数据信息支持

控制器: 根据警报信号人工或自动地对入侵行为做出响应

2. IDS和防火墙有什么不同?

(1)防火墙主要防御的范围是1-4层;入侵检测真主要防御的是应用层

(2)防火墙属于被动防御;入侵检测属于主动防御

总:入侵检测是防火墙的一个有力的补充。形成防御闭环、可以及时、准确、全面的发现入侵

3. IDS工作原理?

(1) 信息收集

收集的内容:用户在网络、系统、数据库及应用系统中活动的状态和行为

系统和网络的日志文件

目录和文件中的异常改变

程序执行中的异常行为

物理形式的入侵信息

(2)信息分析

操作模型、方差、多元模型、马尔科夫过程模型、时间序列分析

模式匹配

统计分析

完整性分析

(3) 安全响应

流行的响应方式:记录日志、实时显示、E-mail报警、声音报警、SNMP报警、实时TCP阻断(使用RST阻断)、防火墙联动、WinPop显示、收集短信报警

主动响应

被动响应

(4)异常检测

当某个事件与一个已知的攻击特征(信号)相匹配时,一个基于异常的IDS会记录一个正常大致轮廓,当一个事件在这个轮廓之外发生,就认为是异常,IDS就会告警;

4. IDS的主要检测方法有哪些详细说明?

(1) 攻击检测 

入侵检测类似于治安巡逻队,专门注重发现行迹可疑者

被动、离线地发现计算机网络系统中的攻击者

实时、在线地发现计算机网络系统中的工作者

(2)异常检测

IDS通常使用的两种基本分析方法之一,又称为基于行动的入侵检测技术

原理:收集操作活动的历史记录,建立代表主机、用户或者网络连接的正常行为描述,判断是否发生入侵。

异常检测模型:

首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵

(3)误用检测

又称为特征检测

IDS通常使用的两种基本分析方法之一,又称为基于知识的技术检测

原理:对一致的入侵行为和手段进行分析,提取检测特征,构建攻击模式或者攻击签名,判断入侵行为

特征检测:IDS核心是特征库(签名)

优点:准确地检测已知的入侵行为

缺点:不能检测出未知的入侵行为

(4) 异常检测与误用检测的对比:

5. IDS的部署方式有哪些?

(1) 网络IDS(NIDS):

在网络中的关键位置部署IDS传感器,监测网络流量和数据包,通过分析网络流量中的异常行为和攻击特征来检测入侵。典型的NIDS部署方式包括集中式和分布式部署。

- 集中式部署:将IDS传感器集中部署在网络入口点或关键网络节点上,监测整个网络流量。这种方式可以提供全局的网络安全监测和集中的日志管理,但可能会造成单点故障和性能瓶颈。

- 分布式部署:在网络中多个位置部署IDS传感器,每个传感器负责监测特定的网络区域或子网。这种方式可以提供更好的性能和容错能力,但需要更多的资源和管理工作。

(2)主机IDS(HIDS):

在主机上安装IDS软件,监测主机系统的活动和行为,通过分析主机日志和系统调用来检测入侵。主机IDS可以提供更详细和精确的入侵检测,但需要在每台主机上安装和管理IDS软件。

(3)混合IDS(Hybrid IDS):

结合网络IDS和主机IDS的优势,同时在网络和主机上部署IDS传感器,以提供全面的入侵检测和监测能力。

(4)云IDS(Cloud IDS):

在云环境中部署IDS传感器,监测云平台和虚拟机的活动和流量,以检测云环境中的入侵行为。云IDS可以提供弹性和可扩展的入侵检测能力,但需要与云服务提供商合作进行部署和管理。

6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

(1)签名:

在IDS中,签名是一种用于检测特定入侵行为或攻击模式的规则或模式。IDS使用签名来比对网络流量、数据包或主机日志中的特定模式或特征,以判断是否存在已知的入侵或攻击行为。当检测到与签名匹配的流量或行为时,IDS会发出警报或采取其他预定的响应措施。

签名可以基于已知的攻击模式、恶意软件特征、异常行为或其他入侵指标来构建。

签名可以由安全厂商、社区或网络管理员自行创建或更新,也可以从公共的签名库或安全更新中获取。对于IDS来说,及时更新签名非常重要,以保持对新型攻击和恶意行为的检测能力。

自定义签名:

 (2)签名过滤器的作用:

签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。

签名过滤器的动作分为:

阻断:丢弃命中签名的报文,并记录日志

告警:对命中签名的报文放行,但是会记录日志

采用签名的缺省动作:实际动作以签名的缺省动作为准

(3)例外签名的作用:

如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:

阻断:丢弃该签名中的报文,并记录日志

告警:对命中签名的报文放行,会记录日志

放行:对命中签名的报文放行,不会记录日志

添加黑名单:是指丢弃该命中签名的报文,阻断报文所在的数据流,记录日志,并将报文的源地址或者目的地址添加到黑名单

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/839789.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

外边距实现居中的写法

1、代码实例 2、默认是贴到左侧对齐的,但我们想要把他贴到中间对齐 3、居中的写法 4、这样就可以保证盒子居中了 5、以上写法仅适于行内元素和行内块元素的写法,有没有什么方法适用于行内块元素:可以添加text-align:center进行添加&#xff0…

stl_list类(使用+实现)(C++)

list 一、list-简单介绍二、list的常用接口1.常见构造2.iterator的使用3.Capacity和Element access4.Modifiers5.list的迭代器失效 三、list实现四、vector 和 list 对比五、迭代器1.迭代器的实现2.迭代器的分类(按照功能分类)3.反向迭代器(1)、包装逻辑…

Julia 日期和时间

Julia 通过 Dates 模块提供了以下三个函数来处理日期和时间: Date:表示日期,精确到日,只显示日期。DateTime:表示日期和时间,精确到毫秒。DateTime:表示日时间,精确到纳秒&#xff…

Unity 3D ScrollRect和ScrollView回弹问题的解决

你是否是这样&#xff1f; Content高度 < 全部Cell加在一起的总高 他就认为你的全部Cell加起来就跟Content一样大&#xff0c;所以才出现了这种完全回弹 我该怎么办&#xff1f; 很简单&#xff0c;改变Content的长度跟所有Cell的和一样大 void RefreshSize(){float allD…

分布式Redis详解

目录 前言安装redis的俩种方法Redis 与 MySQL的区别Redis可以实现那些功能Redis常用的数据类型有序列表的底层是如何实现的?什么是跳跃表 Redis在Spring中的使用 前言 Redis我们最近学习必备工具之一了, 接下来我们将讲解Redis的简单应用 ,以及相关原理 安装redis的俩种方法…

python自动收集粘贴板

win10的粘贴板可以用“winV”查看&#xff1a; 每次复制都相当于入栈一个字符串&#xff0c;粘贴相当于获取栈顶。 但是系统自带的这个粘贴板貌似不能一键导出&#xff0c;所以我写了个python代码完成这个功能&#xff1a; import pyperclip import timetmp while True:txt…

【LeetCode】剑指 Offer Ⅱ 第3章:字符串(7道题) -- Java Version

题库链接&#xff1a;https://leetcode.cn/problem-list/e8X3pBZi/ 题目解决方案剑指 Offer II 014. 字符串中的变位词双指针 数组模拟哈希表 ⭐剑指 Offer II 015. 找到字符串中所有字母异位词双指针 数组模拟哈希表 ⭐剑指 Offer II 016. 不含重复字符的最长子字符串双指针…

vue2-vue中mixin到底是什么?

1、mixin是什么&#xff1f; Mixin是面向对象程序设计语言中的类&#xff0c;提供了方法的实现。其他类可以访问mixin类的方法而不必成为其子类。 Mixin类通常作为功能模块使用&#xff0c;在需要该功能时“混入”&#xff0c;有利于代码的复用又避免了多继承的复杂。 1.1 vue中…

LeetCode643. 子数组最大平均数 I

题干 给你一个由 n 个元素组成的整数数组 nums 和一个整数 k 。 请你找出平均数最大且 长度为 k 的连续子数组&#xff0c;并输出该最大平均数。 任何误差小于 10^-5 的答案都将被视为正确答案。 示例1&#xff1a; 输入&#xff1a;nums [1,12,-5,-6,50,3], k 4 输出&am…

Matlab中图的最短路径

前言&#xff1a; 图的基本概念&#xff1a; 若想简单绘制图可以利用此网站&#xff1a; 左上角Undirected/Directed是无向图/有向图 左边 0-index &#xff0c;1-index为0下标&#xff0c;1下标。 Node Count为节点个数 Graph Data&#xff1a;最初尾节点的名称&#xff…

HDFS小文件解决方案---archive归档文件命令

小文件解决方案 背景Archive概述创建archive查看归档文件查看归档之后的样子查看归档文件之前的样子 提取archivearchive注意事项 背景 hdfs并不擅长存储小文件&#xff0c;因为每个文件最少一个block&#xff0c;每个block的元数据都会在namenode占用内存&#xff0c;如果存在…

WAF绕过-漏洞利用篇-sql注入+文件上传-过狗

WAF绕过主要集中在信息收集&#xff0c;漏洞发现&#xff0c;漏洞利用&#xff0c;权限控制四个阶段。 1、什么是WAF&#xff1f; Web Application Firewall&#xff08;web应用防火墙&#xff09;&#xff0c;一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安…

Java thymeleaf bug排查记录

刚学Java 做项目时报了一个错误 一时间看的莫名其妙 EL1008E: Property or field createTime cannot be found on object of type java.util.HashMap - maybe not public or not valid? 随即向上排查至第一个报错&#xff0c;发现是thymeleaf渲染时报错。 Exception proces…

ChatGPT下架官方检测工具,承认无法鉴别AI内容

去年底&#xff0c;OpenAI 推出的 ChatGPT &#xff0c;带来了生成式人工智能涌现的热潮。它不仅能够协助完成撰写邮件、视频脚本、文案、翻译、代码等任务&#xff0c;还能通过学习和理解人类的语言来进行对话&#xff0c;并根据聊天的上下文进行互动。 但随之而来的争议也让人…

代码随想录算法训练营day55

文章目录 Day55 判断子序列题目思路代码 不同的子序列题目思路代码 Day55 判断子序列 392. 判断子序列 - 力扣&#xff08;LeetCode&#xff09; 题目 给定字符串 s 和 t &#xff0c;判断 s 是否为 t 的子序列。 字符串的一个子序列是原始字符串删除一些&#xff08;也可以…

Java课设--学生信息管理系统(例1)

文章目录 前提一、运行效果二、Text实现类三、Manage选择类四、StudentWay学生方法类五、StudnetSql数据库类 前题 例1为无使用GUI图形界面&#xff0c;例2使用GUI图形界面&#xff01; 首先自己的JDBC驱动已经接好了&#xff0c;连接自己的数据库没有问题。连接数据库可以看…

Linux Day06

目录 一、printf输出问题 二、复制进程fork 2.1进程 2.2 pid_t fork(void); 注意&#xff1a; 2.3逻辑地址和物理地址 2.4写时拷贝技术 一、printf输出问题 printf 函数并不会直接将数据输出到屏幕&#xff0c;而是先放到缓冲区中&#xff0c;只有一下三种情况满 足&a…

2.文件的逻辑结构

第四章 文件管理 2.文件的逻辑结构 顺序文件采用顺序存储则意味着各个逻辑上相邻的记录在物理上也是相邻的存储的。所以如果第0号记录的逻辑地址为0的话&#xff0c;则i号记录的逻辑为i *L。 特别的如果这个定长记录的顺序文件采用串结构&#xff0c;也就是这些记录的顺序和他…

Python爬虫——爬虫时如何知道是否代理ip伪装成功?

前言 在进行爬虫时&#xff0c;我们可能需要使用代理IP来伪装自己的身份&#xff0c;以避免被网站封禁。如何判断代理IP是否伪装成功呢&#xff1f;本篇文章将围绕这个问题展开讲解&#xff0c;同时提供Python代码示例。 1. 确认代理IP地址 首先&#xff0c;我们需要确认代理…

unity制作FPS射击游戏

文章目录 介绍鼠标移动控制视角行走、奔跑、跳跃、下蹲射击、后坐力、射速、瞄准、弹痕、枪火、抛壳手臂摇摆手枪切枪效果动画状态机玩家血量新地图场景颜色渐变激光墙获取钥匙滑动门NPC属性攻击逻辑终点传送门 介绍 角色动作方面包括行走、奔跑、跳跃、武器切换、弹夹更换、武…