#字要天天见
通信与网络安全考点(16)
入侵检测系统(IDS)有哪些分类?与IPS是什么关系?
24、入侵检测IDS
首先IDS分为物理IDS和网络IDS,这里网络IDS就是通常说到的IDS;
一、物理IDS
1、动作探测器
2、入侵警报
3、二次验证机制
二、网络IDS
(一)从检测技术角度分为
1、基于知识检测(knowledge-based),也叫做基于特征检测、签名检测、模式匹配检测;
2、基于行为检测(behavior-based),也叫做基于统计分析、基于异常检测(需要一个基线)、启发式检测;
(二)从实现类型上分为
1、HIDS(主机型IDS):监测一台计算机上的活动,包括进行调用以及系统、应用程序、安全措施和基于主机防火墙日志记录的信息。 也就是通过日志来检查,所以审计是最重要的; HIDS的缺点是管理成本很高;
2、NIDS(网络型IDS):监测并评估网络活动,以找出攻击或异常事件;是根据网络流量来搜集数据进行判断; NIDS采集数据是被动的,相当于把流量数据镜像一份出来; 所以NIDS是不消耗网络和主机资源的;
三、IPS/IDS与流量关系
(1)IPS 是要与流量内置关联的(inline with the traffic),与流量是串联的
(2)IDS是与流量镜像的,所以需要与交换机有一个镜像端口
更多CISSP知识分享,请看我的主页
#信息安全 #cissp #网络安全
通信与网络安全考点(16)
入侵检测系统(IDS)有哪些分类?与IPS是什么关系?
24、入侵检测IDS
首先IDS分为物理IDS和网络IDS,这里网络IDS就是通常说到的IDS;
一、物理IDS
1、动作探测器
2、入侵警报
3、二次验证机制
二、网络IDS
(一)从检测技术角度分为
1、基于知识检测(knowledge-based),也叫做基于特征检测、签名检测、模式匹配检测;
2、基于行为检测(behavior-based),也叫做基于统计分析、基于异常检测(需要一个基线)、启发式检测;
(二)从实现类型上分为
1、HIDS(主机型IDS):监测一台计算机上的活动,包括进行调用以及系统、应用程序、安全措施和基于主机防火墙日志记录的信息。 也就是通过日志来检查,所以审计是最重要的; HIDS的缺点是管理成本很高;
2、NIDS(网络型IDS):监测并评估网络活动,以找出攻击或异常事件;是根据网络流量来搜集数据进行判断; NIDS采集数据是被动的,相当于把流量数据镜像一份出来; 所以NIDS是不消耗网络和主机资源的;
三、IPS/IDS与流量关系
(1)IPS 是要与流量内置关联的(inline with the traffic),与流量是串联的
(2)IDS是与流量镜像的,所以需要与交换机有一个镜像端口
更多CISSP知识分享,请看我的主页
#信息安全 #cissp #网络安全
