@Lemon
3年前 提问
1个回答

ids如何检测入侵

007bug
3年前

IDS检测入侵一般有两种模式,第一种是实时入侵检测,是在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复,第二种是事后检测,这种是需要通过安全人员进行检测,常用的检测技术是信息收集,也就是对系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息进行收集并进行分析。

IDS部署方法有以下这些:

  • 共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息;

  • 隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作;

  • Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易;

  • In-line模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击;

  • 混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。