2、安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据
3、主动响应:主动切断连接或与防火墙联动,调用其他程序处理 。
主要类型
1、基于主机的入侵检测系统(HIDS):基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上 。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件 。
这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活 。这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统 。
2、基于网络的入侵检测系统(NIDS):基于网络的入侵检测方式是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备 。检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机 。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接 。目前,大部分入侵检测产品是基于网络的 。
这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置,也不会影响主机性能;风险低;配置简单 。其缺点主要是:成本高、检测范围受局限;大量计算,影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出 。
主动被动
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 。绝大多数 IDS 系统都是被动的 。也就是说,在攻击实际发生之前,它们往往无法预先发出警报 。
使用方式
作为防火墙后的第二道防线,适于以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处 。
局限性
1、误报率高:主要表现为把良性流量误认为恶性流量进行误报 。还有些IDS产品会对用户不关心事件的进行误报 。
2、产品适应能力差:传统的IDS产品在开发时没有考虑特定网络环境下的需求,适应能力差 。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整,以适应不同环境的需求 。
3、大型网络管理能力差:首先,要确保新的产品体系结构能够支持数以百计的IDS传感器;其次,要能够处理传感器产生的告警事件;最后还要解决攻击特征库的建立,配置以及更新问题 。
4、缺少防御功能:大多数IDS产品缺乏主动防御功能 。
5、处理性能差:目前的百兆、千兆IDS产品性能指标与实际要求还存在很大的差距 。
3、IPS(入侵防御系统)定义
入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为 。
产生背景
1、串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力 。
2、旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断 。
3、IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断 。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著 。
推荐阅读
- 邯郸市教育考试院网站登录入口_河北邯郸市教育考试院
- 安定的近义词和反义词,安定的近义词是什么 标准答案
- 2022世界最美女人 世界最美女人 第一名
- 秋葵吃了会腹泻呕吐吗
- 五险一金指什么有退休金吗 五险一金指什么和社保有什么区别吗
- 龙舌兰酒价格表_龙舌兰酒价格一览
- 英语趣味故事小短文英语趣味故事思维导图
- 生产技术部工作职责和内容生产技术部部长岗位职责
- 头条的诸位大神,有什么好的音乐播放器推荐一下?