网规:第4章 网络安全-4.5IDS和IPS
4.5 IDS和IPS(P643-658)
1、***檢測(cè)系統(tǒng)概述
(1)IDS的定義
是一種主動(dòng)保護(hù)自己,使網(wǎng)絡(luò)和系統(tǒng)免遭非法***的網(wǎng)絡(luò)安全技術(shù),它依照一定的安全策略,對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種***企圖、***行為或***結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。
(2)IDS的作用
A、通過(guò)檢測(cè)和記錄網(wǎng)絡(luò)中的安全違規(guī)行為,懲罰網(wǎng)絡(luò)犯罪,防止網(wǎng)絡(luò)***事件的發(fā)生。
B、檢測(cè)其他安全措施未能阻止的***或安全違規(guī)行為。
C、檢測(cè)***在***前的探測(cè)行為,預(yù)先給管理員發(fā)出警報(bào)。
D、報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。
E、提供有關(guān)***的信息,幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn),利于其進(jìn)行修補(bǔ)。
F、在大型、復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中布置***檢測(cè)系統(tǒng),可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。
(3)IDS的組成
一個(gè)IDS通常由探測(cè)器、分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)組成。
(4)IDS的類(lèi)型及技術(shù)
基于主機(jī)的***檢測(cè)、基于網(wǎng)絡(luò)的***檢測(cè)、混合***檢測(cè)系統(tǒng)(結(jié)合前兩種技術(shù))。
(5)分布式***檢測(cè)系統(tǒng)
DIDS采用了分布式智能代理的結(jié)構(gòu)方式,由幾個(gè)中央智能代理和大量分布的本地代理組成,其中本地代理負(fù)責(zé)處理本地事件,而中央代理負(fù)責(zé)整體的分析工作。
2、***檢測(cè)系統(tǒng)實(shí)例
(1)RIDS-100
由瑞星公司自主開(kāi)發(fā)研制的新一代網(wǎng)絡(luò)安全產(chǎn)品,它集***檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)視功能于一身。是一套基于網(wǎng)絡(luò)的DIDS,它主要由***檢測(cè)引擎和管理控制臺(tái)兩部分組成。
典型應(yīng)用方案:
A、監(jiān)聽(tīng)、檢測(cè)發(fā)生在內(nèi)網(wǎng)之間的連接和***。 B、監(jiān)聽(tīng)、檢測(cè)外網(wǎng)對(duì)內(nèi)網(wǎng)的***。
(2)Cisco***檢測(cè)系統(tǒng)4200
Cisco IDS 4210可以監(jiān)控45Mbps的流量,適用于T1/E1和T3環(huán)境。
Cisco IDS 4235可以監(jiān)控200Mbps的流量,可以在交換環(huán)境中、多個(gè)T3子網(wǎng)上以及在10/100/1000接口的支持下提供保護(hù)。另外,它還可以部署在部分使用的千兆位鏈路上。
Cisco IDS 4250不但能以500Mbps的速度支持無(wú)與倫比的性能,還能保護(hù)千兆位子網(wǎng)以及正在穿越交換機(jī)的流量。
3、***防御系統(tǒng)
(1)***防御系統(tǒng)概述
IPS提供主動(dòng)、實(shí)時(shí)的防護(hù),其設(shè)計(jì)旨在對(duì)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè),對(duì)***性的流量進(jìn)行自動(dòng)攔截,使它們無(wú)法造成損失。IPS如果檢測(cè)到***企圖,就會(huì)睡去地將***包丟掉或采取措施阻斷***源,而不把***流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。
注意區(qū)別:IPS與防火墻、IPS與IDS。
IPS系統(tǒng)根據(jù)部署方式可以分為在類(lèi):HIPS、NIPS、AIP。
IPS必須具備如下技術(shù)特征:嵌入式運(yùn)行、深入分析的控制、***特征庫(kù)、高效處理能力。
(2)***防御系統(tǒng)的原理
在ISO/OSI網(wǎng)路層次模型(見(jiàn)OSI模型) 中,防火墻主要在第二到第四層起作用,它的作用在第四到第七層一般很微弱。而除病毒軟體主要在第五到第七層起作用。為了彌補(bǔ)防火墻和除病毒軟體二者在第四到第五層之間留下的空檔,幾年前,工業(yè)界已經(jīng)有***偵查系統(tǒng)(IDS: Intrusion Detection System)投入使用。***偵查系統(tǒng)在發(fā)現(xiàn)異常情況后及時(shí)向網(wǎng)路安全管理人員或防火墻系統(tǒng)發(fā)出警報(bào)。可惜這時(shí)災(zāi)害往往已經(jīng)形成。雖然,亡羊補(bǔ)牢,尤未為晚,但是,防衛(wèi)機(jī)制最好應(yīng)該是在危害形成之前先期起作用。隨后應(yīng)運(yùn)而生的***反應(yīng)系統(tǒng)(IRS: Intrusion Response Systems) 作為對(duì)***偵查系統(tǒng)的補(bǔ)充能夠在發(fā)現(xiàn)***時(shí),迅速作出反應(yīng),并自動(dòng)采取阻止措施。而***預(yù)防系統(tǒng)則作為二者的進(jìn)一步發(fā)展,汲取了二者的長(zhǎng)處。
***預(yù)防系統(tǒng)也像***偵查系統(tǒng)一樣,專(zhuān)門(mén)深入網(wǎng)路數(shù)據(jù)內(nèi)部,查找它所認(rèn)識(shí)的***代碼特征,過(guò)濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包,并進(jìn)行記載,以便事后分析。除此之外,更重要的是,大多數(shù)***預(yù)防系統(tǒng)同時(shí)結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸重的異常情況,來(lái)輔助識(shí)別***和***。比如,用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時(shí)段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序弱點(diǎn)的空子正在被利用等等現(xiàn)象。***預(yù)防系統(tǒng)雖然也考慮已知病毒特征,但是它并不僅僅依賴于已知病毒特征。
應(yīng)用***預(yù)防系統(tǒng)的目的在于及時(shí)識(shí)別***程序或有害代碼及其克隆和變種,采取預(yù)防措施,先期阻止***,防患于未然。或者至少使其危害性充分降低。***預(yù)防系統(tǒng)一般作為防火墻和防病毒軟體的補(bǔ)充來(lái)投入使用。在必要時(shí),它還可以為追究***者的刑事責(zé)任而提供法律上有效的證據(jù) (forensic)。
(3)IPS的檢測(cè)技術(shù)
A、基于特征的匹配技術(shù) B、協(xié)議分析技術(shù) C、抗DDoS/Dos技術(shù)
D、智能化檢測(cè)技術(shù) E、蜜罐技術(shù)
(4)IPS存在的問(wèn)題
單點(diǎn)故障、性能瓶頸、誤報(bào)率和漏報(bào)率。
?
轉(zhuǎn)載于:https://blog.51cto.com/zjskobe/711099
總結(jié)
以上是生活随笔為你收集整理的网规:第4章 网络安全-4.5IDS和IPS的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 网络工程师要如何选择?
- 下一篇: 关于C3P0容错和自动重连特性的研究