① 入侵檢測系統IDS是什麼,入侵檢測系統的原理是什麼
入侵檢測系統(IDS)是對網路傳輸進行實時監控的一種安全保障。不同於傳統的網路安全設備,當檢測到外星入侵者時,會立即報警並採取積極的應對措施。而且他內置了入侵知識庫,對網路上的流量特徵進行收集和分析,一旦在高合規或者大流量的情況下,會立即預警或者反擊。
一、入侵檢測系統的工作
入侵檢測系統簡稱IDS。IDS主要分為兩部分:檢測引擎和控制中心。檢測引擎用於分析和讀取數據。當控制中心接收到一個來自伊寧的數據時,會對數據進行過濾,進行檢測分析,如果有威脅會立即報警。一些正常用戶的異常檢測行為,偏離了正常的活動規律,也會被視為攻擊企圖,會立即產生狀態信號。IDS就像是對金庫的監控。一旦有人准備入侵監控,或者在門前做了什麼,就會被自己的控制中心檢測到。
以上就是有關於入侵檢測系統IDS是什麼,入侵檢測系統的原理是什麼?的相關回答了,你了解了嗎
② 什麼是IDS,它有哪些基本功能
IDS是入侵檢測系統。
(1)基於主機的IDS保護的是其所在的系統,運行在其所監視的系統之上;
(2)基於網路的IDS保護的是整個網段,部署於全部流量都要經過的某台設備上。
入侵檢測可分為實時入侵檢測和事後入侵檢測兩種。
實時入侵檢測在網路連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。
而事後入侵檢測則是由具有網路安全專業知識的網路管理人員來進行的,是管理員定期或不定期進行的,不具有實時性,因此防禦入侵的能力不如實時入侵檢測系統。
(2)ids可以檢查系統配置擴展閱讀:
按輸入入侵檢測系統的數據的來源來分,可以分為三類:
1、基於主機的入侵檢測系統:其輸入數據來源於系統的審計日誌,一般只能檢測該主機上發生的入侵;
2、基於網路的入侵檢測系統:其輸入數據來源於網路的信息流,能夠檢測該網段上發生的網路入侵;
3、採用上述兩種數據來源的分布式入侵檢測系統:它能夠同時分析來源於系統的審計日誌和來源於網路的信息流,這種系統一般由多個部件組成。
③ 根據檢測原理,入侵檢測(IDS)可分為幾種其屬性分別是什麼
分為兩類:
1、信息來源一類:基於主機IDS和基於網路的IDS。
2、檢測方法一類:異常入侵檢測和誤用入侵檢測。
IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。
在這里,所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網路,絕大部分的網路區域都已經全面升級到交換式的網路結構。
(3)ids可以檢查系統配置擴展閱讀:
入侵檢測系統分為四個組件:
1,事件產生器(Eventgenerators),它的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。
2,事件分析器(Eventanalyzers),它經過分析得到數據,並產生分析結果。
3,響應單元(Responseunits),它是對分析結果作出反應的功能單元,它可以作出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。
4,事件資料庫(Eventdatabases)事件資料庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的資料庫,也可以是簡單的文本文件。
④ IDS主要功能是什麼
主要功能是:
(1)監視、分析用戶及系統活動。
(2)對系統構造和弱點的審計。
(3)識別反映已知進攻的活動模式並報警。
(4)異常行為模式的統計分析。
(5)評估重要系統和數據文件的完整性。
(6)對操作系統的審計追蹤管理,並識別用戶違反安全策略的行為。
(4)ids可以檢查系統配置擴展閱讀
入侵檢測系統根據入侵檢測的行為分為兩種模式:異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型,凡是訪問者不符合這個模型的行為將被斷定為入侵;後者則相反,先要將所有可能發生的不利的不可接受的行為歸納建立一個模型,凡是訪問者符合這個模型的行為將被斷定為入侵。
這兩種模式的安全策略是完全不同的,而且,它們各有長處和短處:異常檢測的漏報率很低,但是不符合正常行為模式的行為並不見得就是惡意攻擊,因此這種策略誤報率較高;誤用檢測由於直接匹配比對異常的不可接受的行為模式,因此誤報率較低。
參考資料來源:網路-入侵檢測系統
⑤ IDS分類是什麼意思,IDS分類是什麼意思
關於IDS分類的意思,計算機專業術語名詞解釋
有許多不同類型的IDS,以下分別列出: ●IDS分類1-Application IDS(應用程序IDS):應用程序IDS為一些特殊的應用程序發現入侵信號,這些應用程序通常是指那些比較易受攻擊的應用程序,如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS,雖然在默認狀態下並不針對應用程序,但也可以經過訓練,應用於應用程序。例如,KSE(一個基於主機的IDS)可以告訴我們在事件日誌中正在進行的一切,包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。●IDS分類2-Consoles IDS(控制台IDS):為了使IDS適用於協同環境,分布式IDS代理需要向中心控制台報告信息。現在的許多中心控制台還可以接收其它來源的數據,如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台,並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。 ●IDS分類3-File Integrity Checkers(文件完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要(加密的雜亂信號),就可以定時地檢查文件,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊後,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來,是"事後諸葛亮",最近出現的許多產品能在文件被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire和Intact。 ●IDS分類4-Honeypots(蜜罐):關於蜜罐,前面已經介紹過。蜜罐的例子包括Mantrap和Sting。●IDS分類5-Host-based IDS(基於主機的IDS):這類IDS對多種來源的系統和事件日誌進行監控,發現可疑活動。基於主機的IDS也叫做主機IDS,最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能,主機IDS還對"事件/日誌/時間"進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的,系統的錯誤就可以很快地檢測出來,技術人員和安全人士都非常喜歡它。現在,基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。 ●IDS分類6-Hybrid IDS(混合IDS):現代交換網路的結構給入侵檢測操作帶來了一些問題。首先,默認狀態下的交換網路不允許網卡以混雜模式工作,這使傳統網路IDS的安裝非常困難。其次,很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個方案,它將IDS提升了一個層次,組合了網路節點IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。 ●IDS分類7-Network IDS(NIDS,網路IDS):NIDS對所有流經監測代理的網路通信量進行監控,對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器,但是近來它們變得更加智能化,可以破譯協議並維護狀態。NIDS存在基於應用程序的產品,只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析,但是在網路高負載下,還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。 ●IDS分類8-Network Node IDS(NNIDS,網路節點IDS):有些網路IDS在高速下是不可靠的,裝載之後它們會丟棄很高比例的網路信息包,而且交換網路經常會防礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機,從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似,但它們之間還有區別。對於被歸類為NNIDS的個人防火牆,應該對企圖的連接做