IDS防火墙无法发现的威胁,入侵检测系统善于捕获已知的显式恶意攻击。而一些专家会说
,一个正确定义的id可以捕获任何安全威胁,包括事实上最难发现和预防的滥用事件。例如,
如果外部黑客使用社会工程技术获得CEO密码,许多入侵检测系统将不会注意到。如果站点管
理员无意中向世界公共目录提供机密文件,ids将不会注意到。如果攻击者使用默认密码管理帐
户,则应在系统安装后更改帐户,而入侵检测系统很少注意到。如果黑客进入网络并复制秘密
文件,id也很难被注意到。这并不是说ids不能用来检测前面提到的每一个错误事件,但是它们
比直接攻击更难检测。攻击者绕过ids的最有效方法是在许多层(第二、第三和第七层)中加密
数据。例如,使用openssh或ssl可以加密大多数数据,而使用ipsec可以在传输过程中加密通信
量。
IDS发展历程,第一代ids专注于精确的攻击检测。第二代ids通过后台可用的选项数组检测攻击
,并致力于简化管理员操作。它们提供直观的最终用户界面、入侵防范、集中式设备管理、事
件关联和数据分析。第二代ids不仅检测攻击,而且对攻击进行排序、块,并试图从其中寻找尽
可能多的值,除了检测。有经验的ids系统管理员知道ids的一半成功或失败是由耗时、复杂和
技术性的工作组成的。抓住正在进行攻击的黑客总是令人兴奋的,因为它是窥视者,所以第一
次实现者经常花费大量时间学习和实现检测模式。尽管他们这样做,但他们往往做得更少或忽
略设置管理功能、配置数据库和打印报告。因为他们没有事先的计划,所以很快就要打开他们
的ids了。
,并致力于简化管理员操作。它们提供直观的最终用户界面、入侵防范、集中式设备管理、事
件关联和数据分析。第二代ids不仅检测攻击,而且对攻击进行排序、块,并试图从其中寻找尽
可能多的值,除了检测。有经验的ids系统管理员知道ids的一半成功或失败是由耗时、复杂和
技术性的工作组成的。抓住正在进行攻击的黑客总是令人兴奋的,因为它是窥视者,所以第一
次实现者经常花费大量时间学习和实现检测模式。尽管他们这样做,但他们往往做得更少或忽
略设置管理功能、配置数据库和打印报告。因为他们没有事先的计划,所以很快就要打开他们
的ids了。
为了增加您成功部署ids的机会,请记住,需要一个小时来规划和配置日志、报告和分析工具
找到检测特性。类型和测试模型id的选择取决于要保护的资产,而ids可以保护主机或网络。
所有入侵检测系统都遵循两个入侵检测模型异常(也称为配置文件、行为、启发式或统计)
检测或签名(基于知识的)检测。
找到检测特性。类型和测试模型id的选择取决于要保护的资产,而ids可以保护主机或网络。
所有入侵检测系统都遵循两个入侵检测模型异常(也称为配置文件、行为、启发式或统计)
检测或签名(基于知识的)检测。
