1. 什么是IDS？

IDS（intrusion detection system）入侵檢測(cè)系統(tǒng)，是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它會(huì)對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、過程、結(jié)果，來保證系統(tǒng)資源的安全。

入侵檢測(cè)系統(tǒng)模型：

• 檢測(cè)器: 分析和檢測(cè)入侵的任務(wù)并向控制器發(fā)出警報(bào)信號(hào)
• 數(shù)據(jù)收集器: 主要負(fù)責(zé)收集數(shù)據(jù)
• 知識(shí)庫(kù): 為檢測(cè)器和控制器提供必需的數(shù)據(jù)信息支持
• 控制器: 根據(jù)警報(bào)信號(hào)人工或自動(dòng)地對(duì)入侵行為做出響應(yīng)

2. IDS和防火墻有什么不同？

（1）防火墻主要防御的范圍是1-4層；入侵檢測(cè)真主要防御的是應(yīng)用層

（2）防火墻屬于被動(dòng)防御；入侵檢測(cè)屬于主動(dòng)防御

總：入侵檢測(cè)是防火墻的一個(gè)有力的補(bǔ)充。形成防御閉環(huán)、可以及時(shí)、準(zhǔn)確、全面的發(fā)現(xiàn)入侵

3. IDS工作原理？

（1）?信息收集

收集的內(nèi)容：用戶在網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)中活動(dòng)的狀態(tài)和行為

• 系統(tǒng)和網(wǎng)絡(luò)的日志文件

• 目錄和文件中的異常改變

• 程序執(zhí)行中的異常行為

• 物理形式的入侵信息

（2）信息分析

操作模型、方差、多元模型、馬爾科夫過程模型、時(shí)間序列分析

• 模式匹配

• 統(tǒng)計(jì)分析

• 完整性分析

（3） 安全響應(yīng)

流行的響應(yīng)方式：記錄日志、實(shí)時(shí)顯示、E-mail報(bào)警、聲音報(bào)警、SNMP報(bào)警、實(shí)時(shí)TCP阻斷（使用RST阻斷）、防火墻聯(lián)動(dòng)、WinPop顯示、收集短信報(bào)警

• 主動(dòng)響應(yīng)

• 被動(dòng)響應(yīng)

（4）異常檢測(cè)

當(dāng)某個(gè)事件與一個(gè)已知的攻擊特征（信號(hào)）相匹配時(shí)，一個(gè)基于異常的IDS會(huì)記錄一個(gè)正常大致輪廓，當(dāng)一個(gè)事件在這個(gè)輪廓之外發(fā)生，就認(rèn)為是異常，IDS就會(huì)告警；

4. IDS的主要檢測(cè)方法有哪些詳細(xì)說明？

（1） 攻擊檢測(cè)?

入侵檢測(cè)類似于治安巡邏隊(duì)，專門注重發(fā)現(xiàn)行跡可疑者

• 被動(dòng)、離線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的攻擊者

• 實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的工作者

（2）異常檢測(cè)

IDS通常使用的兩種基本分析方法之一，又稱為基于行動(dòng)的入侵檢測(cè)技術(shù)

原理：收集操作活動(dòng)的歷史記錄，建立代表主機(jī)、用戶或者網(wǎng)絡(luò)連接的正常行為描述，判斷是否發(fā)生入侵。

異常檢測(cè)模型：

首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵

（3）誤用檢測(cè)

又稱為特征檢測(cè)

IDS通常使用的兩種基本分析方法之一，又稱為基于知識(shí)的技術(shù)檢測(cè)

原理：對(duì)一致的入侵行為和手段進(jìn)行分析，提取檢測(cè)特征，構(gòu)建攻擊模式或者攻擊簽名，判斷入侵行為

特征檢測(cè)：IDS核心是特征庫(kù)（簽名）

優(yōu)點(diǎn)：準(zhǔn)確地檢測(cè)已知的入侵行為

缺點(diǎn)：不能檢測(cè)出未知的入侵行為

（4） 異常檢測(cè)與誤用檢測(cè)的對(duì)比：

5. IDS的部署方式有哪些？

（1） 網(wǎng)絡(luò)IDS（NIDS）：

在網(wǎng)絡(luò)中的關(guān)鍵位置部署IDS傳感器，監(jiān)測(cè)網(wǎng)絡(luò)流量和數(shù)據(jù)包，通過分析網(wǎng)絡(luò)流量中的異常行為和攻擊特征來檢測(cè)入侵。典型的NIDS部署方式包括集中式和分布式部署。

- 集中式部署：將IDS傳感器集中部署在網(wǎng)絡(luò)入口點(diǎn)或關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)上，監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)流量。這種方式可以提供全局的網(wǎng)絡(luò)安全監(jiān)測(cè)和集中的日志管理，但可能會(huì)造成單點(diǎn)故障和性能瓶頸。
- 分布式部署：在網(wǎng)絡(luò)中多個(gè)位置部署IDS傳感器，每個(gè)傳感器負(fù)責(zé)監(jiān)測(cè)特定的網(wǎng)絡(luò)區(qū)域或子網(wǎng)。這種方式可以提供更好的性能和容錯(cuò)能力，但需要更多的資源和管理工作。

（2）主機(jī)IDS（HIDS）：

在主機(jī)上安裝IDS軟件，監(jiān)測(cè)主機(jī)系統(tǒng)的活動(dòng)和行為，通過分析主機(jī)日志和系統(tǒng)調(diào)用來檢測(cè)入侵。主機(jī)IDS可以提供更詳細(xì)和精確的入侵檢測(cè)，但需要在每臺(tái)主機(jī)上安裝和管理IDS軟件。

（3）混合IDS（Hybrid IDS）：

結(jié)合網(wǎng)絡(luò)IDS和主機(jī)IDS的優(yōu)勢(shì)，同時(shí)在網(wǎng)絡(luò)和主機(jī)上部署IDS傳感器，以提供全面的入侵檢測(cè)和監(jiān)測(cè)能力。

（4）云IDS（Cloud IDS）：

在云環(huán)境中部署IDS傳感器，監(jiān)測(cè)云平臺(tái)和虛擬機(jī)的活動(dòng)和流量，以檢測(cè)云環(huán)境中的入侵行為。云IDS可以提供彈性和可擴(kuò)展的入侵檢測(cè)能力，但需要與云服務(wù)提供商合作進(jìn)行部署和管理。

6. IDS的簽名是什么意思？簽名過濾器有什么作用？例外簽名配置作用是什么？

（1）簽名：

在IDS中，簽名是一種用于檢測(cè)特定入侵行為或攻擊模式的規(guī)則或模式。IDS使用簽名來比對(duì)網(wǎng)絡(luò)流量、數(shù)據(jù)包或主機(jī)日志中的特定模式或特征，以判斷是否存在已知的入侵或攻擊行為。當(dāng)檢測(cè)到與簽名匹配的流量或行為時(shí)，IDS會(huì)發(fā)出警報(bào)或采取其他預(yù)定的響應(yīng)措施。

簽名可以基于已知的攻擊模式、惡意軟件特征、異常行為或其他入侵指標(biāo)來構(gòu)建。

簽名可以由安全廠商、社區(qū)或網(wǎng)絡(luò)管理員自行創(chuàng)建或更新，也可以從公共的簽名庫(kù)或安全更新中獲取。對(duì)于IDS來說，及時(shí)更新簽名非常重要，以保持對(duì)新型攻擊和惡意行為的檢測(cè)能力。

自定義簽名：

?（2）簽名過濾器的作用：

簽名過濾器是若干簽名的集合，我們根據(jù)特定的條件如嚴(yán)重性、協(xié)議、威脅類型等，將IPS特征庫(kù)中適用于當(dāng)前業(yè)務(wù)的簽名篩選到簽名過濾器中，后續(xù)就可以重點(diǎn)關(guān)注這些簽名的防御效果。通常情況下，對(duì)于篩選出來的這些簽名，在簽名過濾器中會(huì)沿用簽名本身的缺省動(dòng)作。特殊情況下，我們也可以在簽名過濾器中為這些簽名統(tǒng)一設(shè)置新的動(dòng)作，操作非常便捷。

簽名過濾器的動(dòng)作分為：

阻斷：丟棄命中簽名的報(bào)文，并記錄日志

告警：對(duì)命中簽名的報(bào)文放行，但是會(huì)記錄日志

采用簽名的缺省動(dòng)作：實(shí)際動(dòng)作以簽名的缺省動(dòng)作為準(zhǔn)

（3）例外簽名的作用：

如果管理員需要將某些簽名設(shè)置為與過濾器不同的動(dòng)作時(shí)，可將這些簽名引入到例外簽名中，并單獨(dú)配置動(dòng)作。

例外簽名的動(dòng)作分為：

阻斷：丟棄該簽名中的報(bào)文，并記錄日志

告警：對(duì)命中簽名的報(bào)文放行，會(huì)記錄日志

放行：對(duì)命中簽名的報(bào)文放行，不會(huì)記錄日志

添加黑名單：是指丟棄該命中簽名的報(bào)文，阻斷報(bào)文所在的數(shù)據(jù)流，記錄日志，并將報(bào)文的源地址或者目的地址添加到黑名單文章來源地址http://www.zghlxwxcb.cn/news/detail-610897.html

到了這里，關(guān)于入侵檢測(cè)——IDS概述、簽名技術(shù)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！