IDS介紹

IDS（intrusion detection system）入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。
它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。
專業(yè)上講IDS就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

為什么需要IDS

打一個(gè)形象的比喻：假如防火墻是一幢大樓的防盜門(mén)和安全鎖，那么IDS（入侵檢測(cè)系統(tǒng)）就是這幢大樓里的監(jiān)視系統(tǒng)。一旦有小偷通過(guò)爬窗進(jìn)入大樓，或者內(nèi)部人員有越界行為，實(shí)時(shí)監(jiān)視系統(tǒng)就會(huì)發(fā)現(xiàn)情況并發(fā)出警告。

實(shí)用檢測(cè)

實(shí)時(shí)地監(jiān)視，分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文

發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文

安全審計(jì)

對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析

發(fā)現(xiàn)異?，F(xiàn)象

得出系統(tǒng)的安全狀態(tài)，找出所需證據(jù)

主動(dòng)響應(yīng)

主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理

IDS的工作原理

IDS不跨接多個(gè)物理網(wǎng)段（通常只有一個(gè)監(jiān)聽(tīng)端口），無(wú)須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)的、無(wú)聲息的收集它所關(guān)心的報(bào)文即可。對(duì)收集來(lái)的報(bào)文，入侵檢測(cè)系統(tǒng)提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的入侵知識(shí)庫(kù)，與這些流量特征進(jìn)行智能分析比較匹配。根據(jù)預(yù)設(shè)的閥值，匹配耦合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻，入侵檢測(cè)系統(tǒng)將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊。

IDS的工作過(guò)程

第一步：信息收集

收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。
?
?入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面：
?系統(tǒng)日志：黑客經(jīng)常在系統(tǒng)日志中留下他們的蹤跡，因此，充分利用系統(tǒng)日志是非常重要的
?
目錄以及文件的異常改變：網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文?件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)

程序執(zhí)行中的異常行為：網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程?序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一?到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控?制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程出現(xiàn)了不期望?的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行?分解，從而導(dǎo)致運(yùn)行失敗，或者是以非用戶或非管理員意圖的方式操作

物理形式的入侵信息：這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理?資源的未授權(quán)訪問(wèn)

第二步：數(shù)據(jù)分析

一般通過(guò)三種技術(shù)手段進(jìn)行分析：?模式匹配，?統(tǒng)計(jì)分析和完整性分析。?其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。
模式匹配：模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)?庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為

統(tǒng)計(jì)分析?：統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值如果超過(guò)了正常值范圍，就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)?用戶正常行為的突然改變。

完整性分析：完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和?目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被修改成類似特洛伊木馬的應(yīng)用程序方面特?別有效。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是有入侵行為導(dǎo)致了文件或其他對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是?一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。

入侵檢測(cè)是防火墻的一個(gè)有力補(bǔ)充，形成防御閉環(huán)，可以及時(shí)、準(zhǔn)確、全面的發(fā)現(xiàn)入侵彌補(bǔ)防火墻對(duì)應(yīng)用層檢查的缺失。

IDS的主要檢測(cè)方法

1、模式匹配（誤用檢測(cè)）

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化。

模式的表示方式：

（1）一個(gè)過(guò)程—如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令并執(zhí)行

（2）一個(gè)輸出—如獲取權(quán)限

優(yōu)點(diǎn)：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)且技術(shù)已相當(dāng)成熟，檢測(cè)準(zhǔn)確度和檢測(cè)效率高

缺點(diǎn)：需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的異常攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段

關(guān)鍵問(wèn)題

要識(shí)別所有的攻擊特征，就要建立完備的特征庫(kù)
特征庫(kù)要不斷更新
無(wú)法檢測(cè)新的入侵

2、統(tǒng)計(jì)分析（異常檢測(cè)）

統(tǒng)計(jì)分析方法首先給信息對(duì)象（如用戶、連接、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常偏差之外時(shí)，就認(rèn)為有入侵發(fā)生

方法：創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）

優(yōu)點(diǎn)：可檢測(cè)到未知的入侵和更為復(fù)雜的入侵

缺點(diǎn)：誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變，具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法等正在研發(fā)中的

關(guān)鍵問(wèn)題

“正?！毙袨樘卣鞯倪x擇
統(tǒng)計(jì)算法、統(tǒng)計(jì)點(diǎn)的選擇

3、完整性分析（異常檢測(cè)）

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制（簽名），稱為消息摘要函數(shù)（例如MD5），能識(shí)別及其微小的變化，以此判斷入侵

方法：建立完整性分析對(duì)象（文件/目錄/數(shù)字資源）在正常狀態(tài)時(shí)的完整性簽名，匹配簽名值是否發(fā)生變化

優(yōu)點(diǎn)：不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)

缺點(diǎn)：一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)

4、融合使用異常檢測(cè)與誤用（特征）檢測(cè)

防火墻與IDS的區(qū)別

區(qū)別：

功能上：

IDS作用是監(jiān)控?cái)?shù)據(jù)、異常告警、超限阻止等；
防火墻的作用是隔離非授權(quán)用戶在區(qū)域間并過(guò)濾對(duì)受保護(hù)網(wǎng)絡(luò)有害流量或數(shù)據(jù)包

工作性質(zhì)上：

防火墻是針對(duì)異常攻擊的一種被動(dòng)的防御，旨在保護(hù)；
IDS則是主動(dòng)出擊尋找潛在的攻擊者，發(fā)現(xiàn)入侵行為；
防火墻只是防御為主，通過(guò)防火墻的數(shù)據(jù)便不再進(jìn)行任何操作;
IDS則進(jìn)行實(shí)時(shí)的檢測(cè)，發(fā)現(xiàn)入侵行為即可做出反應(yīng)，是對(duì)防火墻弱點(diǎn)的修補(bǔ)

防火墻看起來(lái)可以防止外部威脅進(jìn)入我們的內(nèi)部網(wǎng)絡(luò)，但它并不能監(jiān)控網(wǎng)絡(luò)內(nèi)部所發(fā)生的攻擊行為，所以很多廠商會(huì)在防火墻中整合IDS（入侵檢測(cè)系統(tǒng)）和IPS（入侵防御系統(tǒng)），URL過(guò)濾、防病毒等然后就做UTM（ 統(tǒng)一威脅管理）。
對(duì)IDS的部署的唯一要求就是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。
在這里，"所關(guān)注流量"指的是來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選在：（1）盡可能靠近攻擊源（2）盡可能靠近受保護(hù)資源

這些位置通常是：
    服務(wù)器區(qū)域的交換機(jī)上
    邊界路由器的相鄰交換機(jī)上
    重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上

IDS的架構(gòu)

事件產(chǎn)生器：它的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。
事件分析器：分析數(shù)據(jù)，發(fā)現(xiàn)危險(xiǎn)、異常事件，通知響應(yīng)單元
響應(yīng)單元：對(duì)分析結(jié)果作出反應(yīng)
事件數(shù)據(jù)庫(kù)：存放各種中間和最終數(shù)據(jù)

IDS的部署方式

共享模式和交換模式：從 HUB 上的任意一個(gè)接口，或者在交換機(jī)上做端口鏡像的端口上收集信息。

隱蔽模式：在其他模式的基礎(chǔ)上將探測(cè)器的探測(cè)口 IP 地址去除，使得 IDS 在對(duì)外界不可見(jiàn)的情況下正常工作。

Tap 模式：以雙向監(jiān)聽(tīng)全雙工以太網(wǎng)連接中的網(wǎng)絡(luò)通信信息，能捕捉到網(wǎng)絡(luò)中的所有流量，能記錄完整的狀態(tài)信息使得與防火墻聯(lián)動(dòng)或發(fā)送 Reset 包更加容易。

In-line 模式：直接將 IDS 串接在通信線路中，位于交換機(jī)和路由器之間。這種模式可以將威脅通信包丟棄，以實(shí)時(shí)阻斷網(wǎng)絡(luò)攻擊。

混合模式：通過(guò)監(jiān)聽(tīng)所有連接到防火墻的網(wǎng)段，全面了解網(wǎng)絡(luò)狀況。

IDS的接入方式：并行接入(并聯(lián))

IDS在交換式網(wǎng)絡(luò)中的位置一般選擇為：盡可能靠近攻擊源，盡可能靠近受保護(hù)資源。

旁掛：需要在部署旁掛設(shè)備上使用端口鏡像的功能，把需要采集的端口流量鏡像到IDS旁掛口。
可以使用集線器、分光器實(shí)現(xiàn)流量復(fù)制。

IDS的作用

防火墻的重要補(bǔ)充
構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)
克服傳統(tǒng)防御機(jī)制的限制

IDS的功能

入侵檢測(cè)系統(tǒng)能在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過(guò)程中，盡可能的減少入侵攻擊所造成的損失，在攻擊后，能收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)添加到知識(shí)庫(kù)中，從而增強(qiáng)系統(tǒng)的防范能力。
(1)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。

(2)對(duì)系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。

(3)識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警。

(4)異常行為模式的統(tǒng)計(jì)分析。

(5)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

(6)對(duì)操作系統(tǒng)的審計(jì)追蹤管理，并識(shí)別用戶違反安全策略的行為。

IDS的分類

根據(jù)數(shù)據(jù)源分類

1 基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）

主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器，通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵，日志中包含發(fā)生在系統(tǒng)上的不尋?；顒?dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或者已經(jīng)成功入侵了系統(tǒng)，通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并啟動(dòng)相應(yīng)的應(yīng)急措施。
2 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）

主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它能夠監(jiān)聽(tīng)網(wǎng)絡(luò)上的所有分組，并采集數(shù)據(jù)以分析現(xiàn)象。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始的網(wǎng)絡(luò)包作為數(shù)據(jù)源，通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來(lái)進(jìn)行實(shí)時(shí)監(jiān)控，并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

根據(jù)檢測(cè)原理分類

1 異常入侵檢測(cè)。

異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)入侵。基于異常檢測(cè)的入侵檢測(cè)首先要構(gòu)建用戶正常行為的統(tǒng)計(jì)模型，然后將當(dāng)前行為與正常行為特征相比較來(lái)檢測(cè)入侵。常用的異常檢測(cè)技術(shù)有概率統(tǒng)計(jì)法和神經(jīng)網(wǎng)絡(luò)方法兩種。
2 誤用入侵檢測(cè)。

誤用入侵檢測(cè)技術(shù)是通過(guò)將收集到的數(shù)據(jù)與預(yù)先確定的特征知識(shí)庫(kù)里的各種攻擊模式進(jìn)行比較，如果發(fā)現(xiàn)有攻擊特征，則判斷有攻擊。完全依靠特征庫(kù)來(lái)做出判斷，所以不能判斷未知攻擊。常用的誤用檢測(cè)技術(shù)有專家系統(tǒng)、模型推理和狀態(tài)轉(zhuǎn)換分析。

根據(jù)體系結(jié)構(gòu)分類

1.集中式

集中式入侵檢測(cè)系統(tǒng)包含多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢
測(cè)服務(wù)器，審計(jì)程序把收集到的數(shù)據(jù)發(fā)送給中央服務(wù)器進(jìn)行分析處理。這種結(jié)構(gòu)的入侵檢測(cè)系統(tǒng)在可伸縮性、可配置性方面存在致命缺陷。隨著網(wǎng)絡(luò)規(guī)模的增加，主機(jī)審計(jì)程序和服務(wù)器之間傳送的數(shù)據(jù)量激增，會(huì)導(dǎo)致網(wǎng)絡(luò)性能大大降低。并且一旦中央服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)就會(huì)陷入癱瘓。此外，根據(jù)各個(gè)主機(jī)不同需求配置服務(wù)器也非常復(fù)雜。
2.等級(jí)式

在等級(jí)式(部分分布式)入侵檢測(cè)系統(tǒng)中，定義了若干個(gè)分等級(jí)的監(jiān)控區(qū)域，每個(gè)入侵
檢測(cè)系統(tǒng)負(fù)責(zé)一個(gè)區(qū)域， 每一 級(jí)入侵檢測(cè)系統(tǒng)只負(fù)責(zé)分析所監(jiān)控區(qū)域，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)入侵檢測(cè)系統(tǒng)。這種結(jié)構(gòu)存在以下問(wèn)題。首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整:其次，這種結(jié)構(gòu)的入侵檢測(cè)系統(tǒng)最終還是要把收集到的結(jié)果傳送到最高級(jí)的檢測(cè)服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒(méi)有實(shí)質(zhì)性改進(jìn)。
3.協(xié)作式

協(xié)作式入侵檢測(cè)系統(tǒng)將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的入侵檢測(cè)系統(tǒng)，這些入侵檢測(cè)系統(tǒng)不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。所以，可伸縮性、安全性都得到了顯著的提高，但維護(hù)成本也相應(yīng)增大，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制，審計(jì)開(kāi)銷，蹤跡分析等。

根據(jù)工作方式分類

1 離線檢測(cè)。
離線檢測(cè)系統(tǒng)是一種非實(shí)時(shí)工作的系統(tǒng)，在事件發(fā)生后分析審計(jì)事件，從中檢查入侵事件。這類系統(tǒng)的成本低，可以分析大量事件，調(diào)查長(zhǎng)期情況，但由于是事后進(jìn)行的，不能對(duì)系統(tǒng)提供及時(shí)的保護(hù)，而且很多入侵在完成后會(huì)刪除相應(yīng)的日志，因而無(wú)法進(jìn)行審計(jì)。

2 在線監(jiān)測(cè)。
在線監(jiān)測(cè)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包或主機(jī)的審計(jì)事件進(jìn)行實(shí)時(shí)分析，可以快速響應(yīng)，保護(hù)系統(tǒng)安全，但在系統(tǒng)規(guī)模較大時(shí)難以保證實(shí)時(shí)性。

IDS的局限性

對(duì)用戶知識(shí)要求較高，配置、操作和管理使用較為復(fù)雜
網(wǎng)絡(luò)發(fā)展迅速，對(duì)入侵檢測(cè)系統(tǒng)的處理性能要求越來(lái)越高，現(xiàn)有技術(shù)難以滿足實(shí)際需要
高虛警率，用戶處理的負(fù)擔(dān)重
由于警告信息記錄的不完整，許多警告信息可能無(wú)法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果
在應(yīng)對(duì)對(duì)自身的攻擊時(shí)，對(duì)其他數(shù)據(jù)的檢測(cè)也可能會(huì)被抑制或受到影響

IDS的簽名是什么意思？簽名過(guò)濾器有什么作用？例外簽名配置作用是什么？

IDS的簽名：入侵防御簽名用來(lái)描述網(wǎng)絡(luò)中存在的攻擊行為的特征，通過(guò)將數(shù)據(jù)流和入侵防御簽名進(jìn)行比較來(lái)檢測(cè)和防范攻擊。如果某個(gè)數(shù)據(jù)流匹配了某個(gè)簽名中的特征項(xiàng)時(shí)，設(shè)備會(huì)按照簽名的動(dòng)作來(lái)處理數(shù)據(jù)流。入侵防御簽名分為預(yù)定義和自定義簽名。

簽名過(guò)濾器作用：

由于設(shè)備升級(jí)簽名庫(kù)后會(huì)存在大量簽名，而這些簽名沒(méi)有進(jìn)行分類，且有些簽名所包含的特征本網(wǎng)絡(luò)中不存在，需要設(shè)置簽名過(guò)濾器對(duì)其進(jìn)行管理，并過(guò)濾掉。

簽名過(guò)濾器的動(dòng)作分為：

阻斷：丟棄命中簽名的報(bào)文，并記錄日志。
告警：對(duì)命中簽名的報(bào)文放行，但記錄日志。
采用簽名的缺省動(dòng)作，實(shí)際動(dòng)作以簽名的缺省動(dòng)作為準(zhǔn)。

例外簽名配置作用：
為了就是用于更細(xì)致化的進(jìn)行IPS流量的放行。

阻斷：丟棄命中簽名的報(bào)文，并記錄日志。
告警：對(duì)命中簽名的報(bào)文放行，但記錄日志。

放行：對(duì)命中的報(bào)文方向=行，且不記錄日志。

實(shí)驗(yàn)

要求：

實(shí)現(xiàn)對(duì)PC1訪問(wèn)Server1服務(wù)流量的有效攔截

解答：

1、IP地址規(guī)劃以及拓?fù)湟?guī)劃

2、配置云朵Cloud1

3、配置防火墻FW1

1）給防火墻添加防火墻設(shè)備包USG6000-enspv1.3

2）啟動(dòng)防火墻FW1，輸入賬號(hào)和密碼

賬號(hào)：admin
密碼：Admin@123

并且修改原密碼，設(shè)置新密碼

3）從第1）步可以看出，云朵和防火墻之間設(shè)置的網(wǎng)段是192.168.0.0/24，所以要給防火墻的GE0/0/0接口修改IP地址，改為192.168.0./24。

4）在瀏覽器上輸入與云朵直連的防火墻的GE0/0/0接口的IP地址，我這里是192.168.0.1
并且輸入賬號(hào)和密碼，點(diǎn)擊登錄
得到以下網(wǎng)頁(yè)

5）配置接口區(qū)域 以及IP地址

6）配置安全策略

4、配置內(nèi)網(wǎng)

5、配置外網(wǎng)

6、測(cè)試

1）正常訪問(wèn)http服務(wù)

2）非法訪問(wèn)

完成實(shí)驗(yàn)文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-813147.html

到了這里，關(guān)于安全防御——IDS（入侵檢測(cè)系統(tǒng)）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！