入侵检测系统配置全攻略
1. 入侵检测系统概述
在网络安全领域,无论你的网络防护措施多么严密,总会有意外发生。为了及时发现安全事件,入侵检测系统(IDS)和事件日志监控是两种常见的方法。
1.1 IDS的工作原理
IDS的主要功能是检测不良活动,并通常会向相关人员发送警报。实现IDS的常见方式有两种:
-基于特征的IDS:系统监控并检查所有流量,将其与已知的不良流量特征数据库进行比较。
-基于异常的IDS:尝试从实际网络数据中构建“正常”流量列表,然后标记不符合该列表的任何流量。不过,识别正常流量的过程可能非常耗时,并且需要大量的人工干预和判断。部分系统会结合这两种方法。
1.2 IDS的类型
根据监控位置的不同,IDS可分为:
-基于主机的IDS(HIDS):检查特定系统上的活动,例如监控关键服务器,查找暴力破解密码的尝试。
-基于网络的IDS(NIDS):检查网络中流动的实际数据包。这两种方法在方法论上有显著差异,有时主机级别的恶意流量在网络级别可能与合法流量难以区分。
1.3 入侵预防系统(IPS)
与IDS仅检测恶意活动不同,IPS除了检测外,还能自行采取行动防止恶意活动得逞。例如,检测到用户在公司网络上使用ICQ信使时,IPS可以发送TCP RESET数据包终止连接。然而,IPS缺乏人类判断,使用时必须极其谨慎。
