入侵检测规则库是什么意思
入侵检测规则库类似漏洞扫描工具中的漏洞库,就是将入侵检测需要匹配的所有规则存放在一个或者多个数据库中,当需要运行入侵检测系统时,该系统会调用规则库内的规则来进行匹配进来的数据是否是入侵行为。入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,凡是访问者符合这个模型的行为将被断定为入侵。
IDS安全检测系统有以下优点
强大的入侵检测和攻击处理能力:KIDS采用了独特的零拷贝技术,可以有效地降低网络数据包的处理开销,最大能支持百兆网络的数据流量。综合了最新的协议分析和攻击模式识别技术,在提高检测性能的同时也大大降低了误报率。KIDS可重组的最大的IP碎片数目为8192,同时监控的TCP连接数为10000,管理控制台同时能管理的传感器的数目也可以是多个(仅受计算机配置的影响)。这些性能最终形成了KIDS强大的入侵检测和攻击处理能力。
全面的检测知识库:KIDS具备国内最为全面的检测知识库,包括扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等11 大类的安全事件,目前共有检测规则1509条,安全报警事件1054条。检测知识库可以实现定期的更新和升级,用户完全不必担心最新黑客攻击方法的威胁。
强大的响应能力:KIDS一旦发现了攻击入侵或可疑的行为,便可以采用多种实时的报警方式通知用户,如屏幕显示、发声报警、邮件通知、传呼通知、手机短消息、WinPop、SNMP Trap或用户自定义的响应方式等,并将所有的报警信息记录到日志中。同时KIDS对一些非法的连接也能够进行及时的阻断,如中断TCP会话、伪造ICMP应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK或通过防火墙阻塞等。
方便的报表生成功能:KIDS的报表功能可以为用户提供全面细致的统计分析信息,它采用不同的统计分类来显示或输出报表,如按重要服务器、重点监测组、常用服务、常见攻击类型和攻击风险等级等进行统计。而对于每一类报表KIDS又提供了更为详细的子分类统计,包括今日事件、三日内事件、本周事件、Top 20个事件(威胁最大的事件)、Top 20个攻击源(攻击嫌疑网址)和Top 20个被攻击地址(有安全隐患的主机/服务器)等。最为方便的是用户完全可以根据自己的喜好或需要定制特殊形式的报表。
开放式的插件结构:传感器采用了插件技术进行分析处理。传感器的核心引擎从网络上抓取数据包,并调用相应的处理插件对其进行分析处理,处理插件将获得的数据包特征与知识库进行比较。对网络高层协议的分析和数据的处理是由专门的插件来实现的,不同的应用层协议用不同的插件来处理。新的协议检测,只需要增加新的处理插件。系统在检测能力上的增强,只需增加和更新插件即可。KIDS包含包特征检测、端口扫描检测、流敏感内容监测器、HTTP检测、POP3分析器、SMTP分析器等多种插件。