(一)NIDS
由一组用途单一的计算机组成。通过侦听网络系统,捕获网络数据包,并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。
网卡模式:混杂模式,监视所有服务器和主机,监控所有经过的流量。
(二)组成结构
(1)探测器:分布在网络中不同区域,通过侦听(嗅探)方式获取网络包,将检测到的攻击行为形成报警事件,向管理控制器发送报警信息。
(2)管理控制器:监控不同网络区域的探测器,接收来自探测器的报警信息。
(三)检测入侵行为
- 同步风暴 SYN Flood
- DDoS攻击
- 网络扫描
- 缓冲区溢出
- 协议攻击
- 流量异常
- 非法网络访问
(四)常见软件
来源 | 说明 | |
1 | 国外 | Session Wall、ISS RealSecure、Cisco Secure IDS等 |
2 | 国内 | 东软、天融信、绿盟、华为等 |
3 | 开源 | 网络入侵检测系统Snort 基于规则的审计分析,进行包的数据内容搜索/匹配,能检测缓冲区溢出、端口扫描、CGI攻击、SMB探测等多种攻击,还具有实时报警功能 |
(五)优点
- 适当配置可监控大型网络的安全状况
- 对网络影响小,属于被动型设备,只监听网络而不干扰网络正常运作
- 可以很好避免攻击,对于攻击者甚至不可见
(六)缺点
- 在高速网络中很难处理所有网络包,可能出现漏检现象
- 多数交换机不提供针对VLAN的统一监测端口,减少了监测范围
- 探测器无法对加密数据包中的协议进行有效分析
- 仅依靠网络流量无法推知命令执行结果,无法判断攻击是否成功