网络安全笔记中,如何配置高效的入侵检测系统?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1923个文字,预计阅读时间需要8分钟。
入侵检测系统+防火墙可依据IP和服务端口过滤数据报文,最小深度检查内容(合法IP和端口避免破坏活动);防火墙仅在网络边界提供安全保护,对内网用户的违规行为或攻击无效。
入侵检测系统- 防火墙可以根据IP和服务端口过滤数据报文,极少深入数据包检查内容(合法IP和端口从事破坏活动);
- 防火墙只在网络边界提供安全保护,对内网用户的违规行为或者攻击者将内网终端作为跳板的恶意行为无能为力;
- 在造成损害前切断连接或终止操作
- 对攻击者震慑作用
- 可以搜集入侵信息,与防火墙联动更新全工具的配置
CIDF通用入侵检测框架
四个组件:- 事件产生器:所需要分析的数据都称为事件。可以是网络中的数据包,或是系统日志或进程消息。其作用是从IDS之外的整个计算环境中搜集事件,将这些事件转换为CIDF的GIDO格式像其他组件提供此事件。
- 事件分析器:分析从其他组件发送来的GIDO,经过分析得到数据,分析产生结构GIDO,并将结果向其他组件分发。(入侵检测的核心,可以用不同算法对其 进行精确分析)。
- 响应单元:处理其他组件发来的GIDO,并作出反应的功能单元,可以作出切断连接、改变文件属性等强烈反应,也可以是简单的报警。
- 事件数据库:存放各种中间和最终GIDO的介质的统称,可以是复杂的数据库也可以是简单的文本文件。
本文共计1923个文字,预计阅读时间需要8分钟。
入侵检测系统+防火墙可依据IP和服务端口过滤数据报文,最小深度检查内容(合法IP和端口避免破坏活动);防火墙仅在网络边界提供安全保护,对内网用户的违规行为或攻击无效。
入侵检测系统- 防火墙可以根据IP和服务端口过滤数据报文,极少深入数据包检查内容(合法IP和端口从事破坏活动);
- 防火墙只在网络边界提供安全保护,对内网用户的违规行为或者攻击者将内网终端作为跳板的恶意行为无能为力;
- 在造成损害前切断连接或终止操作
- 对攻击者震慑作用
- 可以搜集入侵信息,与防火墙联动更新全工具的配置
CIDF通用入侵检测框架
四个组件:- 事件产生器:所需要分析的数据都称为事件。可以是网络中的数据包,或是系统日志或进程消息。其作用是从IDS之外的整个计算环境中搜集事件,将这些事件转换为CIDF的GIDO格式像其他组件提供此事件。
- 事件分析器:分析从其他组件发送来的GIDO,经过分析得到数据,分析产生结构GIDO,并将结果向其他组件分发。(入侵检测的核心,可以用不同算法对其 进行精确分析)。
- 响应单元:处理其他组件发来的GIDO,并作出反应的功能单元,可以作出切断连接、改变文件属性等强烈反应,也可以是简单的报警。
- 事件数据库:存放各种中间和最终GIDO的介质的统称,可以是复杂的数据库也可以是简单的文本文件。