目前我们的网络安全趋势日益严峻,那么如何利用入侵检测系统确保我的网络安全呢?入侵检测又是什么呢?
入侵检测技术是为保证计算机系统的安全,而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,用于检测计算机网络中违反安全策略行为。而违反安全策略的行为有:入侵指非法用户的违规行为;滥用指合法用户的违规行为。
入侵检测系统的应用,能在入侵攻击对系统发生危害前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击,减少入侵攻击所造成的损失。在入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加到知识库内,以增强系统的防范能力。
我们常见的入侵检测类型有:
1.基于网络的入侵检测(NIDS)
基于网络的入侵检测系统放置在比较重要的网段内,不停的监视网段中的各种数据包,对每一个数据包或者可疑的数据包进行特征分析。如果数据包与内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前大部分入侵检测产品是基于网络的。典型的网络入侵检测系统有Snort、NFR、Shadow等。
2.基于主机的入侵检测(HIDS)
基于主机的入侵检测系统通常是安装在被重点检测的主机之上的,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应的措施。
3.混合入侵检测
基于网络的入侵产品和基于主机的入侵检测产品都有不足之处,单纯的使用一类产品会造成主动防御体系的不全面。如果这俩类产品能够无缝结合起来部署在网络内,构成一套完整立体的主动防御体系,即可用发现网络中的攻击信息,也可从系统日志中发现异常情况。
4.文件完整性检查
文件完整性检查系统检查计算机中自上次检查后文件的变化情况。文件完整性检查系统保存每个文件的信息摘要数据库,每次检查时,重新计算文件的信息摘要并将它与数据库中的值作比较,如果不同,则文件已被修改;若相同,文件则未发生变化。
文件的信息摘要通过Hash函数计算得到。通常采用安全性高的Hash算法,如MD5、SHA时,两个不同的文件几乎不可能得到相同的Hash结果。
欢迎关注头条号@运维爱好者,以上就是常见的入侵检测类型,喜欢请点击关注。
#我要上头条##网络安全#