一.IDS和IPS
IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络、系统的运行状况进行监视,可以发现各种攻击行为并发出安全警报。
IPS(Intrusion Prevention System):入侵防御系统,具有IDS的监控检测功能之外,还可以深度感知检测数据流量,对恶意报文进行限制,以阻止这些异常的或是具有伤害性的网络行为。
NSM:网络安全监控系统,用于收集、检测和分析网络安全数据,通常IDS是其组成部分之一。
IPS入侵防御系统,是在IDS入侵检测系统的基础上,增加了事件处理以及安全防护功能,能够主动对安全事件进行响应。
二.IDS/IPS的功能及分类
1.IDS根据两种方法进行分类:按照数据来源、按照入侵检测策略。
按照数据来源分类
- 基于网络的入侵检测系统(NIDS)
- 基于主机的入侵监测系统(HIDS)
- 分布式入侵检测系统(DIDS)
按照入侵检测策略分类
- 滥用检测
- 异常检测
- 完整性分析
2.IPS从功能上具有以下几个组成部分:
- 数据采集:采集和捕获流量数据
- 入侵检测:分析流量和日志数据,发现安全异常行为并发出警报,常见的有Snort、Suricata、Bro
- 结果展示:用于分析IDS警报并进行友好展示,常见的IDS警报分析工具有Snorby、Sguil、Base等
- 安全防御:主动响应安全事件,采取丢弃数据包等等措施来阻止异常网络行为,比如与iptables联用
三.IDS检测方法
IDS根据入侵检测的行为分为:异常检测和误用检测。
1、异常检测方法
- 统计异常检测方法
- 特征选择异常检测方法
- 基于贝叶斯推理异常检测方法
- 基于贝叶斯网络异常检测方法
- 基于模式预测异常检测方法
2、误用检测方法
- 基于条件的概率误用检测方法
- 基于专家系统误用检测方法
- 基于状态迁移分析误用检测方法
- 基于键盘监控误用检测方法
- 基于模型误用检测方法