数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
时尚研究
法律研究在信息安全领域,入侵检测系统有哪些类型?
入侵检测系统 (IDS) 是一种应用程序或设备,它监控入站和出站网络流量,持续分析事件以查找模式变化,并在识别异常行为时向管理员发出警报。管理员可以审查警报并采取措施删除威胁。
例如,IDS 可以检查网络流量携带的数据,以查看它是否包含已知的恶意软件或其他恶意内容。如果它能够识别此类威胁,它会向安全团队发送警报,以便他们可以调查并修复它。由于您的团队会收到警报,因此他们应迅速采取行动,以避免攻击接管系统。
在基于网络的入侵检测系统 (NIDS) 中,传感器放置在要监控的网络中的关键点,通常位于非军事区 (DMZ) 或网络边界。传感器捕获一些网络流量并分析专用数据包的内容以查找恶意流量。
在系统中,PIDS 和 APIDS 用于监控传输和协议非法或不适当的流量或语言结构(例如 SQL)。在基于主机的系统中,传感器通常包括一个软件代理,它监控其安装在其上的主机的某些活动。这两种系统的混合也存在。
网络入侵检测系统是一个独立的平台,它通过确定网络流量和监控多个主机来识别入侵。网络入侵检测系统通过连接到集线器、配置为端口镜像的网络交换机或网络分接头来访问网络流量。NIDS 的一个实例是 Snort。
基于协议的入侵检测系统 (PIDS) 包括一个系统或代理,该系统或代理通常可以位于服务器的前端,监控和分析连接设备(用户/PC 或系统)之间的通信协议。
对于 Web 服务器,这通常可以监控 HTTPS 协议流并理解与它试图保护的 Web 服务器相对应的 HTTP 协议。如果使用 HTTPS,则此系统需要驻留在 HTTPS 解密并直接进入 Web 表示层之前的“垫片”或接口中。
基于应用程序协议的入侵检测系统 (APIDS) 包括一个系统或代理,该系统或代理通常可以位于一组服务器中,监控和分析应用程序特定协议上的通信。在具有数据库的 Web 服务器中,这可以监控特定于中间件/业务登录的 SQL 协议,因为它与数据库一起执行。
基于主机的入侵检测系统 (HIDS) 在主机上包含一个代理,该代理通过分析系统调用、软件日志、文件系统修改(二进制文件、密码文件、功能数据库)和多个主机活动和状态来识别入侵。HIDS 的一个实例是 OSSEC。
混合入侵检测系统结合了多种方法。主机代理数据与网络数据相结合,形成对网络的全面了解。混合 IDS 的一个实例是 Prelude。
1K+ 次查看
