IDS
中文名入侵检测系统,一般分为2种:
HIDS——基于主机的入侵检测系统,可以参考下面文章
IDS——基于网络的入侵检测设备,我们通常说的IDS就是泛指NIDS,可以参考下snort
总结一下:
和防火墙不同,不是串联在网络中,而是并联镜像流量还原,就是把以太帧还原成各种协议威胁检测,利用规则(正则表达式)匹配协议中的恶意行为的特征产生告警日志说完了IDS,说一下探针
流量探针狭义上就是嗅探器(sniffer),说俗一点就是你的电脑上安装一个wireshark然后怼到路由器镜像口上然后配置一下路由器和wireshark就成探针了XD
说一下网络安全厂商的探针特点:
旁路部署,和IDS一样镜像流量还原,也和IDS一样威胁检测,还是和……和IDS的结果类似,但是过程除了传统的规则以外,还用到了如机器学习、算法模型、威胁情报等,所以在检测面、检测深度、准确度上比IDS要优秀产生告警日志,也是和……和IDS的结果类似,但是记录的日志内容会更丰富一点,甚至能够保存完整的会话流量包然而每家网络安全厂商的探针产品,做出来的像是一样但又都不一样,因为网络安全厂商他们自己都有一个自己的哈姆雷特_(:з」∠)_
总结:在网络安全行业当中“探针”并没有一个统一的、标准的定义,但是可以理解是IDS的下一代产品
安全审计
和上面两个玩意八竿子打不……先看一下什么是审计:
总结:审计是一种监督机制
在网络安全行业当中,审计的对象一般是操作日志,比如堡垒机日志、操作系统日志等。审计的目的不是为了发现网络攻击事件,而是为了检查是否存在违规操作。
那么审计和上面俩玩意有什么关系呢?安全设备通常上都有日志功能,记录设备的运行状态和人工操作的记录。审计员可以审计操作员是否有违规操作,如删库之类的。或者领导来审计下属的工作量,看看一天登录了多少次分析了多少条日志之类的_(:з」∠)_
我觉得题主想问的是“网络安全流量分析”
IDS和探针他们是工具、是产品,是给人用的。网络安全流量分析的目的是从网络层面分析黑客活动、恶意程序等网络安全事件,还原出事件的全貌。网络安全工程师有了专业的工具,一方面能够提升个人的工作能力,另一方面提高了工作效率。
0 留言