免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1963 | 回复: 4

[系统安全] HIDS/NIDS [复制链接]

论坛徽章:
0
发表于 2013-09-27 18:57 |显示全部楼层
急需HIDS/NIDS入侵检测系统的面试中提问的一切可能

论坛徽章:
16
IT运维版块每日发帖之星
日期:2015-10-02 06:20:00IT运维版块每月发帖之星
日期:2015-09-11 19:30:52IT运维版块每周发帖之星
日期:2015-09-11 19:20:31IT运维版块每日发帖之星
日期:2015-08-26 06:20:00每日论坛发贴之星
日期:2015-08-20 06:20:00IT运维版块每日发帖之星
日期:2015-08-20 06:20:002015年辞旧岁徽章
日期:2015-03-03 16:54:15金牛座
日期:2014-05-04 16:58:09双子座
日期:2013-12-17 16:44:37辰龙
日期:2013-11-22 15:20:59狮子座
日期:2013-11-18 22:55:08射手座
日期:2013-11-12 10:54:26
发表于 2013-09-27 20:35 |显示全部楼层
google+baidu 前提是对IDS原理掌握然后看2者区别。。。

论坛徽章:
0
发表于 2013-09-27 21:35 |显示全部楼层
能说的详细些吗?

论坛徽章:
0
发表于 2013-09-27 21:35 |显示全部楼层
谢谢,能说的详细些吗?

论坛徽章:
0
发表于 2013-10-16 23:35 |显示全部楼层
      HIDS是基于主机的入侵检测系统,它会截获主机流量,对数据包进行安全检查,只有安全的数据包才能进入主机。NIDS是基于网络的入侵检测系统,它不影响系统的正常运行,而是利用类似pcap工具拷贝网络数据流量。
      入侵检测的手段有两种:一种是类似病毒库的方式,采用字符串模式匹配,对数据包进行过滤。另一种方法是定义出什么是合法的数据包,所以也就知道什么是合法的了。第一种方法:易实现,但是容易被攻击者绕过;第二种方法:实现较难,而且存在误报的情况。
      入侵检测的开源工具有snort,很好很强大,但是它并不能作为HIDS实时防护主机(或者有两个网口的主机)。有人开发了基于iptable的snort_inline工具,他从iptable的QUEUE队列中获取数据包,然后,检测数据包的合规性,最后在向iptable发送指令,如何处理数据包。这对于个人机来说是很不错的选择。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP