IDS是:入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
2. IDS和防火墙的不同区分IDS和防火墙的区别:防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护的网络有害的流量或数据包)的设备。而IDS则是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
3. IDS的工作原理IDS分为实时入侵检测和事后入侵检测:
实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
事后入侵检测:由安全人员进行检测。
入侵检测分类:基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
入侵检测技术途径:信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
数据分析:
IDS:入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
4.IDS的主要检测方法的详细说明4.1异常检测模型(Anomaly Detection)首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
4.2误用检测模型(Misuse Detection)收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测。
5.IDS的部署方式5.1直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
5.2单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
5.3旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
6. IDS的签名的意思,签名过滤器的作用,例外签名配置的作用。6.1 IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
6.2 签名过滤器作用:由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
6.3例外签名配置作用:就是为了就是用于更细致化的进行IPS流量的放行。
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
恶意软件简单介绍
恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。腾讯移动安全实验室发布的数据显示,恶意软件由多种威胁组成,会不断弹出,所以需要采取多种方法和技术来进行反病毒保护。恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。恶意软件其本身可能是一种病毒,蠕虫,后门或漏洞攻击脚本,它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测。
2. 恶意软件的特征2.1下载特征很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。
2.2后门特征后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
2.3信息收集特性QQ密码和聊天记录;
网络游戏帐号密码;
网上银行帐号密码;
用户网页浏览记录和上网习惯;
2.4自身隐藏特性