前言
Hvv蓝队小白啥也不知道,。又要重头开始了。。。
0x01 什么是IDS/IPS
1. 事件前提:记录网络中的事件,将事件的过程进行分析,查看是否有违规或者对安全策略造成威胁的迹象,这就叫做入侵检测系统(IDS);当检测到有入侵行为时,便通过强制停止事件,这叫做入侵防御(IPS)。
2.拓扑图
0x02 IDS如何工作
1. 基于签名的检测将签名与观察到的事件进行比较,以识别可能的事件。这是最简单的检测方法,因为它使用字符串比较操作仅将当前活动单位(例如数据包或日志条目,与签名列表)进行比较。
2. 基于异常的检测将正常活动的定义与观察到的事件进行比较,以识别出明显的偏差。这种检测方法可以非常有效地发现以前未知的威胁。
3. 有状态协议分析将针对每个协议状态的良性协议活动的普遍接受的定义的预定配置文件与观察到的事件进行比较,以识别偏差。
0x03 IDS基本原理
1. 检测时间:实时入侵检测、事后入侵检测
2. 分类:
- 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
- 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
3.途径
信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
0x04 IPS基本原理
1. 通过过滤器,检查OSI的2-7层
2.分类
- 基于主机的入侵防护(HIPS):通过在主机/服务器安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。
- 基于网络的入侵防护(NIPS):通过检测流经的网络流量,对网络系统提供安全防护。
http://security.zhiding.cn/security_zone/2009/1111/1513169.shtml