导图社区 IDS入侵检测
这是一篇关于检测的思维导图,主要内容包括:入侵检测。入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。
社区模板帮助中心,点此进入>>
项目时间管理6大步骤
互联网9大思维
项目管理的五个步骤
电商部人员工作结构
电费水费思维导图
D服务费结算
组织架构-单商户商城webAPP 思维导图。
博弈的理解与运用
暮尚正常运转导图
批判性思维导图
检测
入侵检测
IDS INTRUSION DETECTION SYSTEM (入侵检测)
概念:入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。 即制定升级版的安全策略,在网络内部做到子网全监控。
工作原理
构建分析器
数据处理
数据分类
后处理
反馈
提炼
入侵检测分类
基于数据源的分类
根据检测对象分类
基于主机的入侵检测系统 HIDS
对服务器中的异常操作行为进行检测
基于网络的入侵检测系统 NIDS
对网络中的异常行为进行检测
混合入侵检测
基于网关
文件完整性检查系统
基于检测理论的分类
异常检测(白名单)
当一个时间和已知的攻击特征(信号)相匹配时。 一个基于异常的IDS会记录一个正常主机的活动大致轮廓, 当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
优点:不需要专门的操作系统缺陷特征库;有效检测对合法用户的冒充检测
缺点:建立正常的行为轮廓和确定异常行为轮廓的阈值困难
特征检测(黑名单)
IDS的核心是特征库(签名) 签名用来描述入侵行为的特征,通过比较行为特征和签名进行入侵检测
优点:可检测所有已知入侵行为;能够明确入侵行为并提示防范方法
缺点:缺乏对未知入侵行为的检测;对内部人员的越权行为无法进行检测
分布式IDS
基于检测时效的分类
根据系统工作方式分类
离线检测系统
在线检测系统 ----> IPS
工作流程
信息收集
系统和网络日志文件
目录和文件中的不期望的改变
程序执行中的不期望行为
物理形式的入侵信息
信息分析
基于规则入侵检测
基于异常情况检测
入侵检测中的统计模型
部署
目前产品
