【TechTarget中国原创】问:入侵检测系统如何工作
答:入侵检测系统(IDS)通常用于检测不正常行为,旨在在黑客对你的网络造成实质破坏之前揪出黑客。他们可以是基于网络的,也可以是基于主机的。基于主机的IDS是安装在客户机上的,而基于网络的IDS是在网络上。
IDS工作方式可以是检测已知攻击信号,也可以检测反常行为。这些反常或异常行为增大堆栈,并在协议和应用层被检测到。他们可以有效地检测到诸如Xmas tree扫描,DNS中毒和其他的恶意数据包。
一个基于网络的良好的IDS是SNORT。它是免费的,而且可以在Linux和Windows上运行。建立起来的一个简单的方法是扫描一个端口,允许这个端口截获所有横跨网络节点的所有流量。在你的操作系统上安装SNORT,使用“只接受”的网络线缆把它连接到网络的这一部分。一旦你配置了你的规则,就准备好了。