class:防御 ;
什么是NIDS?
概述
NIDS既网络入侵检测系统(Intrusion-detection system),是一种网络安全设备或者软件。
分类
互联网工程工作小组是这样分类的:
- 事件产生器,从计算机中获得事件,并向系统的其他部分提供此事件;
- 事件分析器,分析数据;
- 响应单元,发出警报或采取主动反应措施;
- 事件数据库,存放各种采取主动反应措施;
也有另一种常见分类
即:
- 驱动引擎,捕获和分析网路传输;
- 控制台,管理引擎和发出报告或采取主动反应措施;
这两种分类都是合理的。
工作
除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则,IDS还可揭示员工的逾矩行为,包括内部人威胁和磨洋工情形,比如整天在工作电脑上看片或聊微信、QQ
入侵检测
攻击响应
打断会话
如果使用此措施,IDS引擎会先识别并记录潜在的攻击,然后假扮会话连接的另一端,伪造一份报文给会话的两端,造成会话连接中断,有效阻止通讯会话,阻止攻击。
这种措施虽然大,但也有缺点
泪滴攻击
过滤管理规则
一些IDS能够修改远程路由器或防火墙的过滤规则,以阻止持续的攻击。
缺点
IDS有许多缺点,当代网络传输率太大了,这给IDS很大的负担,可靠性不高,还有就是无法对抗来自内外的攻击,以至于造成拒绝服务(Dos)。
工具
- Snort
- Bro
- Kismet(专注无线)
- OSSEC
- Open DLP
网友评论