入侵防御系统
cisco在入侵检测方面使用了一种混合技术
ips技术不成熟
ips的性能和具体的包类型和大小有关系
command接口有ip,有路由能力,网关主机通过这个接口进行网管。
montor接口没有ip,网络不课件,接受数据,发送rooot
杂合模式和在线模式
更好的对atomic attack攻击进行防御,以前atomic attack 异能因为ids响应过慢被直接送到目的地了,ips一旦潘丹攻击就直接丢弃,ips也有一种说法叫做深度防御防火墙
两种模式可以同时使用
inline蓦地的ips接口需要一对的配置,这昂两个接口就工作在透明的二层转发模式。
下边的特性对你做出drop决定的时候更有信心
风险率
1.fvent serity(事件严重程度)
2.signature fidelity (signature准确程度)---有一个默认的值,这是signature创造者所计算出来的。
3.assetvalut(资产价值)---定义目的的系统价值
hsrp;cisco etherchannel load balancing;stp技术都能实现ips的高可用性
software bypass能够实现在ips出现问题的时候旁路所有数据。
网络性能的提升(性能不够)和网络安全和涉及(多的接入点)需要增加现有ips的关键。
能够从多个分布式csa哪里得到数据,并且对数据进行关联,发现类似昂罗扫描之类的攻击。
深度防御:
没有任何一个设备能够提供完全的安全保护,我们需要hips和nips的协作才能实现深度防御
主机ips
1.保护特定主机的运用程序
2.增加对主机资源访问的控制
3.保护web运用程序
4.防止缓存溢出
网络ips
1.检测和防御web运用程序的攻击
2.检测和防御缓存溢出攻击
3.检测网络探测攻击
4.检测dos攻击
ips的优势与风险
1.ips deny action能够阻止除法宝,连接后续包,或者是所有源至攻击者的包。
2.ips能够使用流量规范化技术,减少或者消除很多网络逃避技术。
3.ips能够有效的阻止蠕虫
4.ips的错误或者损坏会影响到网络的流量
ids的优势和风险
1.ids不影响网络
2.id的损坏不会影响网络功能
3.一旦超过了ids的处理能力不会影响到网络流量,虽然这些数据不能够被ids分析
4.ids response action不能够阻止初始化包,也不能够保证阻止一个链接,ids的相应技术能够比较好的阻止一个攻击者而不是一个攻击。
5.ids更容易受到网络逃避技术的攻击。
1.能够看到所有的抵达你的网咯的流量
2.可能会出现大量的误报
3.不能够检测内部攻击
大部分攻击可能根本无法抵达网络内部,都被防火墙阻断了,但是你能够了解到外部攻击的情况,对攻击的尝试有一定的了解,对后续的防御起到预先判断的作用,
1.只能够看到被防火墙放行的流量
2.较少可能误报
3.需要及时对告警进行相应缺少了对外部攻击了解
标签:Explaining,Intrusion,攻击,能够,ids,网络,ips,防御,Prevention From: https://www.cnblogs.com/smoke520/p/18357858