IDS 入侵檢測系統
IDS是什麼?請從名詞解釋、功能作用、合規性、部署位置、系統架構(由哪些元件組成,各有什麼用途)、有哪些授權
IDS:入侵檢測系統,是一款威脅檢測,分析與管理的安全裝置。能夠很好的檢測木馬,病毒,蠕蟲,DDOS,SQL注入,XSS以及網路資源的濫用行為,比如P2P上傳下載,網路遊戲,音視訊等;符合等保安全區域邊界入侵防範要求;有硬體軟體兩種形態,通常旁路部署在核心交換機上,接收全域性的映象流量。一般由引擎和控制中心組成。引擎負責網路流量分析,事件檢測和上報。控制中心提供web介面管理,儲存記錄危險資訊,做出告警。通常的授權有硬體維保授權,入侵檢測特徵庫升級授權。
IDS工作原理
IDS是一個典型的窺探類裝置,部署在網際網路關口,威脅傳播關鍵路徑。無需轉發任何流量,只需要在網路上被動的收集流量即可。用於分析威脅蔓延態勢,定位威脅,科學指導事件處理,衡量防禦體系,對於收集來的報文,IDS提取相應的流量統計特徵值,並利用內建的入侵檢測特徵庫,與這些流量特徵進行智慧分析比較匹配,根據預設的閾值,匹配耦合度較高的報文流量認為是攻擊,IDS根據預設的策略配置等,做出相應動作或其他處理。一句話介紹IDS,是對黑客入侵行為深度檢測的安全產品。
IDS部署流程
IDS部署分為兩部分,
首先是控制中心的部署 引擎部署
1 準備硬體,伺服器,資料庫 1 更改IP地址/子網掩碼
2 伺服器防火牆開放必要的埠 2 重置引擎認證金鑰
3 安裝SQL Server 資料庫 3 配置路由
4 安裝IDS控制中心 4 管理口接線,登陸IDS web管理介面
5 使用IDS導庫工具,生成IDS控制中心 5 匯入IDS授權檔案,下發授權
6 虛擬機器Windows防火牆開通對應埠,供他人遠端訪問