🍅 点击文末小卡片 ,免费获取网络安全全套资料,资料在手,涨薪更快
- 什么是IDS?
IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。
大家还记得「网络安全」安全设备篇(1)------防火墙吗?做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
在本质上,入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
- IDS模型
按侵检测的手段,IDS的入侵检测模型可分为基于网络和基于主机两种。
基于主机模型
也称基于系统的模型,它是通过分析系统的审计数据来发现可疑的活动,如内存和文件的变化等。其输入数据主要来源于系统的审计日志,一般只能检测该主机上发生的入侵。这种模型有以下优点:
性能价格比高:在主机数量较少的情况下,这种方法的性能价格比更高;
更加细致:可以很容易地监测一些活动,如敏感文件、目录、程序或端口的存取,而这些活动很难基于协议的线索发现;
视野集中:一旦入侵者得到了一个主机用户名和口令,基于主机的代理是最有可能区分正常活动和非法活动的;
易于用户剪裁:每一个主机有自己的代理,当然用户剪裁更加方便;
较少的主机:基于主机的方法有时不需要增加专门的硬件平台;
对网络流量不敏感:用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。
基于网络模型
即通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式,以此来判别是否为入侵者。当该模型发现某些可疑的现象时,也一样会产生告警,并会向一个中心管理站点发出告警信号。这种模型有以下优点:
侦测速度快:基于网络的监测器,通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠最近几分钟内审计记录的分析;
隐蔽性好:一个网络上的监测器不像主机那样显眼和易被存取,因而也不那么容易遭受攻击;
视野更宽:基于网络的方法甚至可以作用在网络边缘上,即攻击者还没能接入网络时就被制止;
较少的监测器:由于使用一个监测器可以保护一个共享的网段,所以不需要很多的监测器;
占资源少:在被保护的设备上不占用任何资源,这点较主机模型最为突出。
- IDS分类
根据模型和部署方式的不同,IDS分为基于主机的IDS、基于网络的IDS,以及由两者取长补短发展而来的新一代分布式IDS。
基于主机的IDS
输入数据来源于系统的审计日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行,监视操作系统或系统事件级别的可疑活动(如尝试登录失败)。此类系统需要定义清楚哪些是不合法的活动,然后把这种安全策略转换成入侵检测规则。
基于网络的IDS
基于网络的IDS的输入数据来源于网络的信息流,该类系统一般被动地在网络上监听整个网段上的信息流,通过捕获网络数据包,进行分析,能够检测该网络段上发生的网络入侵。
分布式IDS
一般由多个部件组成,分布在网络的各个部分,完成相应功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对整网络上的主机的入侵。
- IDS作用
监控、分析用户及系统活动。
对系统构造和弱点的审计。
识别反映已知进攻的活动模式并报警。
异常行为模式的统计分析。
评估重要系统和数据文件的完整性。
对操作系统的审计追踪管理,并识别用户违反安全策略的行为。
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做"正向"的、结合"业务"与"数据"、"自动化"的"体系、建设",才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
