版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、IDS,IPS的工作原理和機制的工作原理和機制本文首先分別介紹了入侵檢測機制IDS(IntrusionDetectionSystem)和入侵防御機制IPS(IntrusionPreventionSystem)的工作原理和實現(xiàn)機制。然后深入討論了IDS和IPS的區(qū)別和各自的應(yīng)用場景等。?概述概述防火墻是實施訪問控制策略的系統(tǒng),對流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查,攔截不符合安全策略的數(shù)據(jù)包。入侵檢測技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源,尋找違反安全策
2、略的行為或攻擊跡象,并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù)IDS系統(tǒng)都是被動的,而不是主動的。也就是說,在攻擊實際發(fā)生之前,它們往往無法預(yù)先發(fā)出警報。而IPS則傾向于提供主動防護,其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的,即通過
3、一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認(rèn)其中不包含異?;顒踊蚩梢蓛?nèi)容后,再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在IPS設(shè)備中被清除掉。?IDS基本定義基本定義當(dāng)越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時候,網(wǎng)絡(luò)安全作為一個無法回避的問題擺在人們面前。公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者技能的日趨成熟,攻擊工具與手法的日趨復(fù)雜多樣,單純的防火墻策略
4、已經(jīng)無法滿足對安全高度敏感的部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時,目前的網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜,各式各樣的復(fù)雜的設(shè)備,需要不斷升級、補漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重,不經(jīng)意的疏忽便有可能造成重大的安全隱患。在這種情況下,入侵檢測系統(tǒng)IDS(IntrusionDetectionSystem)就成了構(gòu)建網(wǎng)絡(luò)安全體系中不可或缺的組成部分。IDS是英文“IntrusionDetectionSystems”的縮寫
5、,中文意思是“入統(tǒng)一的協(xié)議,使各部分能夠根據(jù)協(xié)議所制訂的標(biāo)準(zhǔn)進(jìn)行溝通是很有必要的。IETF目前有一個專門的小組IDWG(IntrusionDetectionWkingGroup)負(fù)責(zé)定義這種通信格式,稱作IntrusionDetectionExchangeFmat。目前只有相關(guān)的草案,并未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統(tǒng)之間的通信提供層協(xié)議,其設(shè)計多其他功能(如可從任意端發(fā)起連接,結(jié)合了加密、身份
6、驗證等)。入侵檢測的分類入侵檢測的分類按入侵檢測的手段、IDS的入侵檢測模型可分為基于網(wǎng)絡(luò)和基于主機兩種?;谥鳈C模型。也稱基于系統(tǒng)的模型,它是通過分析系統(tǒng)的審計數(shù)據(jù)來發(fā)現(xiàn)可疑的活動,如內(nèi)存和文件的變化等。其輸入數(shù)據(jù)主要來源于系統(tǒng)的審計日志,一般只能檢測該主機上發(fā)生的入侵。這種模型有以下優(yōu)點:一是性能價格比高:在主機數(shù)量較少的情況下,這種方法的性能價格比可能更高。二是更加細(xì)致:這種方法可以很容易地監(jiān)測一些活動,如對敏感文件、目錄、程序或
7、端口的存取,而這些活動很難在基于協(xié)議的線索中發(fā)現(xiàn)。三是視野集中:一旦入侵者得到了一個主機用戶名和口令,基于主機的代理是最有可能區(qū)分正常的活動和非法的活動的。四是易于用戶剪裁:每一個主機有其自己的代理,當(dāng)然用戶剪裁更方便了。五是較少的主機:基于主機的方法有時不需要增加專門的硬件平臺。六是對網(wǎng)絡(luò)流量不敏感:用代理的方式一般不會因為網(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視?;诰W(wǎng)絡(luò)的模型)即通過連接在網(wǎng)絡(luò)上的站點捕獲網(wǎng)上的包,并分析其是否具有已知
8、的攻擊模式,以此來判別是否為入侵者。當(dāng)該模型發(fā)現(xiàn)某些可疑的現(xiàn)象時也一樣會產(chǎn)生告警,并會向一個中心管理站點發(fā)出“告警”信號。基于網(wǎng)絡(luò)的檢測有以下優(yōu)點:基于網(wǎng)絡(luò)的檢測有以下優(yōu)點:一是偵測速度快:基于網(wǎng)絡(luò)的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。而大多數(shù)基于主機的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計記錄的分析。二是隱蔽性好:一個網(wǎng)絡(luò)上的監(jiān)測器不像一個主機那樣顯眼和易被存取,因而也不那么容易遭受攻擊。三是視野更寬:基于網(wǎng)絡(luò)的方法甚至可以作用在網(wǎng)絡(luò)的邊緣上,
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 深入理解idsips的工作原理和機制-12頁
- 深入理解 sql server 2008 的鎖機制
- 深入理解文件系統(tǒng)
- 深入理解c語言指針的奧秘
- 深入理解鄉(xiāng)村振興戰(zhàn)略的總要求
- 深入理解鄉(xiāng)村振興戰(zhàn)略的總要求
- 深入理解五四精神的內(nèi)涵和時代價值范文
- 深入理解鄉(xiāng)村振興戰(zhàn)略的總要求
- 深入理解矩陣式團隊管理
- 深入理解硬盤分區(qū)表
- 微黨課:深入理解和把握經(jīng)濟高質(zhì)量發(fā)展
- (黨課講稿)深入理解和貫徹堅持以人民為中心
- 深入理解中國之路、中國之治、中國之理
- 深入理解計算機系統(tǒng)習(xí)題答案
- 外文-深入理解安卓系統(tǒng)的安全性
- 外文翻譯---深入理解android系統(tǒng)安全性
- 外文-深入理解安卓系統(tǒng)的安全性.pdf
- 外文-深入理解安卓系統(tǒng)的安全性.pdf
- android外文翻譯--深入理解安卓系統(tǒng)的安全性
- 畢業(yè)論文外文翻譯-深入理解mysql核心技術(shù)
評論
0/150
提交評論