入侵檢測系統是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全裝置。它與其他網路安全裝置的不同之處便在於,入侵檢測系統是一種積極主動的安全防護技術。
入侵檢測系統(ids)檢查所有進入和發出的網路活動,並可確認某種可疑模式,ids利用這種模式能夠指明來自試圖進入(或破壞系統)的某人的網路攻擊(或系統攻擊)。入侵檢測系統與防火牆不同,主要在於防火牆關注入侵是為了阻止其發生。防火牆限制網路之間的訪問,目的在於防止入侵,但並不對來自網路內部的攻擊發出警報訊號。而ids卻可以在入侵發生時,評估可疑的入侵並發出警告。而且ids還可以觀察源自系統內部的攻擊。從這個意義上來講,ids可能安全工作做得更全面。今天我們就看看下面這五個最著名的入侵檢測系統。
1.snort:這是乙個幾乎人人都喜愛的開源ids,它採用靈活的基於規則的語言來描述通訊,將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快,成為全球部署最為廣泛的入侵檢測技術,並成為防禦技術的標準。通過協議分析、內容查詢和各種各樣的預處理程式,snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、埠掃瞄和各種可疑行為。在這裡要注意,使用者需要檢查免費的base來分析snort的警告。
2.ossec hids:這乙個基於主機的開源入侵檢測系統,它可以執行日誌分析、完整性檢查、windows登錄檔監視、rootkit檢測、實時警告以及動態的適時響應。除了其ids的功能之外,它通常還可以被用作乙個sem/sim解決方案。因為其強大的日誌分析引擎,網際網路**商、大學和資料中心都樂意執行 ossec hids,以監視和分析其防火牆、ids、web伺服器和身份驗證日誌3.fragroute/fragrouter:是乙個能夠逃避網路入侵檢測的工具箱,這是乙個自分段的路由程式,它能夠截獲、修改並重寫發往一台特定主機的通訊,可以實施多種攻擊,如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集,可以對發往某一台特定主機的資料報延遲傳送,或複製、丟棄、分段、重疊、列印、記錄、源路由跟蹤等。嚴格來講,這個工具是用於協助測試網路入侵檢測系統的,也可以協助測試防火牆,基本的tcp/ip堆疊行為。可不要濫用這個軟體呵。
4.base:又稱基本的分析和安全引擎,base是乙個基於php的分析引擎,它可以搜尋、處理由各種各樣的ids、防火牆、網路監視工具所生成的安全事件資料。其特性包括乙個查詢生成器並查詢介面,這種介面能夠發現不同匹配模式的警告,還包括乙個資料報檢視器/解碼器,基於時間、簽名、協議、ip位址的統計圖表等。
5.sguil:這是一款被稱為網路安全專家監視網路活動的控制台工具,它可以用於網路安全分析。其主要部件是乙個直觀的gui介面,可以從 snort/barnyard提供實時的事件活動。還可借助於其它的部件,實現網路安全監視活動和ids警告的事件驅動分析。
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...
IDS入侵檢測
ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。我們做乙個形象的比喻 假如 防火牆是一幢大...
入侵檢測系統
網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...