IDS和IPS基础知识

一.IDS和IPS

IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络、系统的运行状况进行监视,可以发现各种攻击行为并发出安全警报。

IPS(Intrusion Prevention System):入侵防御系统,具有IDS的监控检测功能之外,还可以深度感知检测数据流量,对恶意报文进行限制,以阻止这些异常的或是具有伤害性的网络行为。

NSM:网络安全监控系统,用于收集、检测和分析网络安全数据,通常IDS是其组成部分之一。

IPS入侵防御系统,是在IDS入侵检测系统的基础上,增加了事件处理以及安全防护功能,能够主动对安全事件进行响应。

二.IDS/IPS的功能及分类

1.IDS根据两种方法进行分类:按照数据来源、按照入侵检测策略。

按照数据来源分类

  • 基于网络的入侵检测系统(NIDS)
  • 基于主机的入侵监测系统(HIDS)
  • 分布式入侵检测系统(DIDS)

按照入侵检测策略分类

  • 滥用检测
  • 异常检测
  • 完整性分析

2.IPS从功能上具有以下几个组成部分:

  • 数据采集:采集和捕获流量数据
  • 入侵检测:分析流量和日志数据,发现安全异常行为并发出警报,常见的有Snort、Suricata、Bro
  • 结果展示:用于分析IDS警报并进行友好展示,常见的IDS警报分析工具有Snorby、Sguil、Base等
  • 安全防御:主动响应安全事件,采取丢弃数据包等等措施来阻止异常网络行为,比如与iptables联用

三.IDS检测方法

IDS根据入侵检测的行为分为:异常检测和误用检测。

1、异常检测方法

  • 统计异常检测方法
  • 特征选择异常检测方法
  • 基于贝叶斯推理异常检测方法
  • 基于贝叶斯网络异常检测方法
  • 基于模式预测异常检测方法

2、误用检测方法

  • 基于条件的概率误用检测方法
  • 基于专家系统误用检测方法
  • 基于状态迁移分析误用检测方法
  • 基于键盘监控误用检测方法
  • 基于模型误用检测方法
posted @ 2023-08-22 19:35  妇愁者纞萌  阅读(632)  评论(0编辑  收藏  举报