入侵检测系统概述

首先来说说这个入侵检测系统（IDS）的概念，IDS通过实时地收集和分析计算机网络或系统中的信息来检查是否出现违背安全策略的行为和是否存在入侵的迹象，进而达到提示入侵和预防攻击的目的。入侵检测系统是一种主动防护的网络安全技术，可以有效防止或减轻来自网络的威胁。入侵检测系统一般被用于防火墙的一个补充，可以提供外部攻击，内部攻击和误操作的实时监控。

入侵检测系统由控制台和探测器两部分组成，其中探测器是在前端采集数据的网络设备，连接交换机的网络端口，实行对交换机中传输数据的分析，探测器一般要部署在关键子网中，实现对关键网络中传输数据的安全监测，控制台可以通过网络接受探测器上传的监测数据，从而对计算机网络中的异常现象来做全面的管理和控制。

下面来说说入侵检测系统的基本功能：

1.   检测并记录计算机系统或网络中存在的活动和数据

2.   检测黑客攻击前的探测行为，预先发出警报，这是通过采集并监控攻击者用于扫描探测的数据包来提供警告和响应的

3.   检测网络中的入侵行为和网络中的异常行为

4.   提供有关的攻击信息，以便管理员可以诊断网络中存在的弱点

入侵检测系统的分类，对于这个入侵检测系统的分类可以从多个不同的层面角度出发来进行分类

1.   根据数据的采集方式进行分类可以分为基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。基于网络的入侵检测系统使用监听的方式，在网络通信中寻找符合网络入侵规则的数据包，这种方式的情况下，入侵检测设备往往以硬件的方式部署于网络中，独立于被保护的机器之外。可以通过入侵数据包的特征进行检测，可以提供针对于网络层，传输层和应用层的入侵行为的全面检测。基于主机的入侵检测系统则在主机系统中通过审计日志文件和文件完整性等操作中寻找攻击特征，通常以软件的形式部署于被保护的计算机中。

2.   根据检测原理分类可以分为误用检测型入侵检测系统和异常检测型入侵检测系统。误用检测型入侵检测系统用于收集攻击行为和非正常操作的行为特征，建立相关的特征库，当检测到用户的行为与特征库中的行为匹配的时候，系统就会认为这是入侵，这样对于已知攻击类型的检测非常有效，但是不能检测新型变种的攻击方式。异常检测型入侵检测系统会总结正常的操作系统应当具有的特征，当用户的活动与正常的行为有较大的偏差的时候，系统就会认为这是入侵，通过利用统计的方法来检测系统中的异常行为

首发于我的个人网站： 点击打开链接