發布日期:2022-04-17 點擊率:119 品牌:IDS
一、引言
由于現在有了因特網,網絡安保已經成了工業企業最關注的話題。入侵檢測系統(IDS)用于檢測那些不需要對工業自動化控制系統(IACS)訪問和操作,特別是通過網絡。它是一種專用工具,知道如何分析和解釋網絡流量和主機活動。 IDS的主要目標是對IACS網絡檢測入侵和入侵企圖,讓網絡管理員采取適當的緩解和補救措施。IDS不會阻止這些攻擊,但會讓用戶知道什么時候發生了攻擊。
此外,IDS把已知的攻擊特征和相關的活動、流量、行為模式存儲到數據庫,當監測數據發現存儲的特征與當前的特征或者行為非常接近時,通過比對就可以識別出來。這時,IDS能發出警報或警示,并搜集這些破壞活動的證據。
入侵檢測提供了一種識別的方法,因此可以對系統的攻擊進行反應。檢測到攻擊是一回事,阻止攻擊則是另一回事。這時,最高等級的IT安保行動是防止攻擊和可能的災害;而IDS往往只能帶來一點點這樣的功能。因此,對入侵檢測系統功能的擴展,就產生了入侵防御系統(IPS)。在當前防御能力不足的情況下,驅動了這一新的安全產品誕生,被稱為入侵防御系統。
入侵防御系統是一種網絡安全設備,監控網絡和系統的活動,對惡意或有害的行為可以進行實時反應,以阻止或防止這些活動帶來的破壞。
IPS是基于應用內容來決定是否能對IACS進行訪問,而不是像傳統的防火墻,用IP地址或端口做決定。這種系統采用的是積極的防御機制,在正常的網絡信息流中檢測惡意數據包并阻止其入侵,看在任何損害發生之前自動阻斷惡意流量,而不是簡單地提出警報,或者在惡意的有效載荷已交付之后再動作。
二、入侵檢測系統
IDS對網絡信息進行分析,發現惡意活動時就立即報警。在攻擊開始后他們一般都能夠發出特殊報文復位TCP連接,有些甚至可以與防火墻系統連接,馬上重寫防火墻的規則集。
IDS有兩種基本類型,即特征型和啟發型。運行在工作站上的IDS被稱為主機入侵檢測系統(HIDS),而那些獨立在網絡上運行的設備被稱為網絡入侵檢測系統(NIDS)。 HIDS利用其主機的資源,在主機上監測信息流檢測攻擊。NIDS作為一種獨立設備在網絡上監測信息流檢測攻擊。 NIDS也有兩種形式,特征型NIDS和啟發型NIDS。這兩種類型提供了不同程度的網絡入侵檢測。
今天,我們可以按照IDS所監視的活動、流量、交易、或系統來區分IDS:
· 監測網絡連接和骨干尋找攻擊特征的IDS被稱為:基于網絡的IDS,而那些在主機上運行,??保衛和監視操作和文件系統入侵跡象的IDS,被稱為基于主機的IDS;
· 作為遠程檢測并向中央管理站報告的IDS組,被稱為分布式IDS;
· 一個網關IDS是一種網絡IDS,部署在內部網絡和其他網絡之間,監視進出內部網絡中轉站的信息流。
· 側重于理解和分析特定應用程序邏輯以及底層協議的IDS通常被稱為應用IDS。
按照事件分析方法也可以區分不同的IDS。有的IDS主要使用特征檢測技術。這與許多防病毒程序的方法類似,使用病毒特征碼(特征)來識別,并阻止受感染的文件、程序或活動Web內容進入計算機。依靠當前網絡流量和正常活動的差異發出入侵警告的IDS被稱為異常檢測系統(ADS)。這種類型的IDS通常捕捉來自網絡的數據,對數據使用ADS規則檢出差異。
漏報與誤報
考慮組織機構的首要安保指標是NIDS檢測攻擊的準確性和準確性頻率。為了確定啟發型和特征型NIDS的準確率,要對這些系統的漏報和誤報進行統計。誤報與特征型NIDS相關。特征型NIDS需要把其數據庫中的特征與進入網絡的數據特征進行匹配。
下一篇: PLC、DCS、FCS三大控
上一篇: 索爾維全系列Solef?PV
