Chinaunix

标题: HIDS/NIDS [打印本页]

作者: Angelia丶fan 时间: 2013-09-27 18:57
标题: HIDS/NIDS
急需HIDS/NIDS入侵检测系统的面试中提问的一切可能

作者: wenhq 时间: 2013-09-27 20:35
google+baidu 前提是对IDS原理掌握然后看2者区别。。。

作者: Angelia丶fan 时间: 2013-09-27 21:35
能说的详细些吗？

作者: Angelia丶fan 时间: 2013-09-27 21:35
谢谢，能说的详细些吗？

作者: yandongxiao123 时间: 2013-10-16 23:35
   HIDS是基于主机的入侵检测系统，它会截获主机流量，对数据包进行安全检查，只有安全的数据包才能进入主机。NIDS是基于网络的入侵检测系统，它不影响系统的正常运行，而是利用类似pcap工具拷贝网络数据流量。
   入侵检测的手段有两种：一种是类似病毒库的方式，采用字符串模式匹配，对数据包进行过滤。另一种方法是定义出什么是合法的数据包，所以也就知道什么是合法的了。第一种方法：易实现，但是容易被攻击者绕过；第二种方法：实现较难，而且存在误报的情况。
   入侵检测的开源工具有snort，很好很强大，但是它并不能作为HIDS实时防护主机（或者有两个网口的主机）。有人开发了基于iptable的snort_inline工具，他从iptable的QUEUE队列中获取数据包，然后，检测数据包的合规性，最后在向iptable发送指令，如何处理数据包。这对于个人机来说是很不错的选择。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)