Image 1 Image 2 Image 3 Image 3 Image 3

ids,安全审计,和网络探针有什么区别?

频道:行业资讯 日期: 浏览:404

IDS

中文名入侵检测系统,一般分为2种:

HIDS——基于主机的入侵检测系统,可以参考下面文章

ids,安全审计,和网络探针有什么区别?

IDS——基于网络的入侵检测设备,我们通常说的IDS就是泛指NIDS,可以参考下snort

总结一下:

和防火墙不同,不是串联在网络中,而是并联镜像流量还原,就是把以太帧还原成各种协议威胁检测,利用规则(正则表达式)匹配协议中的恶意行为的特征产生告警日志

说完了IDS,说一下探针

流量探针狭义上就是嗅探器(sniffer),说俗一点就是你的电脑上安装一个wireshark然后怼到路由器镜像口上然后配置一下路由器和wireshark就成探针了XD

说一下网络安全厂商的探针特点:

旁路部署,和IDS一样镜像流量还原,也和IDS一样威胁检测,还是和……和IDS的结果类似,但是过程除了传统的规则以外,还用到了如机器学习、算法模型、威胁情报等,所以在检测面、检测深度、准确度上比IDS要优秀产生告警日志,也是和……和IDS的结果类似,但是记录的日志内容会更丰富一点,甚至能够保存完整的会话流量包

然而每家网络安全厂商的探针产品,做出来的像是一样但又都不一样,因为网络安全厂商他们自己都有一个自己的哈姆雷特_(:з」∠)_

总结:在网络安全行业当中“探针”并没有一个统一的、标准的定义,但是可以理解是IDS的下一代产品

安全审计

和上面两个玩意八竿子打不……先看一下什么是审计:

总结:审计是一种监督机制

在网络安全行业当中,审计的对象一般是操作日志,比如堡垒机日志、操作系统日志等。审计的目的不是为了发现网络攻击事件,而是为了检查是否存在违规操作。

那么审计和上面俩玩意有什么关系呢?安全设备通常上都有日志功能,记录设备的运行状态和人工操作的记录。审计员可以审计操作员是否有违规操作,如删库之类的。或者领导来审计下属的工作量,看看一天登录了多少次分析了多少条日志之类的_(:з」∠)_

我觉得题主想问的是“网络安全流量分析

IDS和探针他们是工具、是产品,是给人用的。网络安全流量分析的目的是从网络层面分析黑客活动、恶意程序等网络安全事件,还原出事件的全貌。网络安全工程师有了专业的工具,一方面能够提升个人的工作能力,另一方面提高了工作效率。

0 留言

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码