IDS
入侵检测系统 intrusion detection system,简称“IDS”。实时监视系统,通过网络系统中关键节点收集并分析。属监听设备,监控网络中是否有违反安全策略的行为或者入侵行为并发出警报或主动反应处理的安全设备。
功能模块:信息收集,分析引擎,响应组件。
适用以旁路接入方式部署在重要业务系统或内网网络出口处
类型
基于主机的入侵检测系统:是早期的入侵检测系统结构,通常是软件型,直接安装在需要保护的主机上面,监测目标主要是主机系统和本地用户行为,原理是根据主机上的审计数据和系统日志进行监测。信息详细,误报率低但会降低主机系统的性能,依赖于服务器的原有日志文件,代价大,不能对网络进行监测。需要安装针对不同系统的检测系统。
基于网络的入侵检测系统:是目前比较主流的检测方式,基于网络,需要有专门的监测设备。监测设备放在重要的网段内,不断的监测网段中的数据包,遇见恶意数据包甚至切断网络。能够监测来自网络的攻击和非法访问,不需要该变服务器的配置,不影响主机性能,风险低,配置简单但成本高,监测范围受限,计算量大,对加密会话过程处理较难,网络流速高是可能会丢失封包,容易让入侵者有机可乘,无法监测加密的包,对主机的直接入侵无法监测。
缺点
1.绝大多数IDS系统是被动响应,在攻击实际发生前,他们往往无法预先发出警报。
2.误报率高,主要把良性流量误认为恶性流量进行误报。
3.缺少自身防御功能,必须和其他防御安全设备进行配合使用。
原文地址:https://www.cnblogs.com/Dpkg/p/12255683.html
时间: 2024-10-04 01:23:55