前言
Hvv藍隊小白啥也不知道,。又要重頭開始了。。。
0x01 什么是IDS/IPS
1. 事件前提:記錄網絡中的事件,將事件的過程進行分析,查看是否有違規或者對安全策略造成威脅的跡象,這就叫做入侵檢測系統(IDS);當檢測到有入侵行為時,便通過強制停止事件,這叫做入侵防御(IPS)。
2.拓撲圖
0x02 IDS如何工作
1. 基於簽名的檢測將簽名與觀察到的事件進行比較,以識別可能的事件。這是最簡單的檢測方法,因為它使用字符串比較操作僅將當前活動單位(例如數據包或日志條目,與簽名列表)進行比較。
2. 基於異常的檢測將正常活動的定義與觀察到的事件進行比較,以識別出明顯的偏差。這種檢測方法可以非常有效地發現以前未知的威脅。
3. 有狀態協議分析將針對每個協議狀態的良性協議活動的普遍接受的定義的預定配置文件與觀察到的事件進行比較,以識別偏差。
0x03 IDS基本原理
1. 檢測時間:實時入侵檢測、事后入侵檢測
2. 分類:
- 基於網絡:通過連接在網絡的站點捕獲數據包,分析是否具有已知攻擊模式。
- 基於主機:通過分析系統審計數據來發現可疑活動,比如內存和文件的變化;輸入數據只要來源於系統日志。
3.途徑
信息收集:系統日志、目錄以及文件的異常改變、程序執行中的異常行為、物理形式的入侵信息。
0x04 IPS基本原理
1. 通過過濾器,檢查OSI的2-7層
2.分類
- 基於主機的入侵防護(HIPS):通過在主機/服務器安裝軟件代理程序,防止網絡攻擊入侵操作系統以及應用程序。
- 基於網絡的入侵防護(NIPS):通過檢測流經的網絡流量,對網絡系統提供安全防護。
http://security.zhiding.cn/security_zone/2009/1111/1513169.shtml