什么是入侵检测系统？ 什么是入侵检测

检查是否存在可疑活动或违反公司政策的行为。

入侵检测系统 （IDS） 是一种网络安全设备或应用程序，用于监控网络传输或系统中的可疑活动或违反公司策略的行为。 检测到警报或采取主动措施。

它与其他网络安全设备的不同之处在于，IDS是一种高度活跃的安全保护技术。

IDS 于 1980 年 4 月首次出现。 那一年，詹姆斯·安德森为美国空军提交了一份题为“计算机安全威胁监控和监视”的技术报告，其中他提出了IDS的概念。

在 1980 年代中期，IDS 发展成为入侵检测专家 （IDES）。 2024年，IDS分为基于网络的N-IDS和基于主机的H-IDS。 后来，出现了分布式D-IDS。

楼上，不明白就不要胡说八道。

入侵检测系统是IDS，这是一种网络安全软件，可以在传输数据时进行检测并采取行动。

详情请参考白鹤如客。

入侵检测是防火墙的逻辑补充，帮助系统抵御网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监控、攻击识别和响应），并提高信息安全基础设施的完整性。

它从计算机网络系统中的几个关键点收集信息，并分析这些信息，以查看网络中是否存在任何违反安全策略和攻击迹象。 入侵检测被认为是防火墙之后的第二个安全门，在不影响网络性能的情况下监控网络，提供针对内部攻击、外部攻击和滥用的实时保护。

检测步骤。 1）信息收集。入侵检测的第一步是收集有关系统、网络、数据和用户活动的状态和行为的信息。

而且，需要在计算机网络系统中的几个不同关键点（不同的网段和不同的主机）收集信息，这除了尽可能扩大检测范围的因素外，另一个重要因素是来自一个来源的信息可能不可疑，但来自多个来源的信息不一致是可疑行为或入侵的良好指标。

当然，入侵检测在很大程度上依赖于所收集信息的可靠性和正确性，因此仅使用您知道的真实且准确的软件报告此信息非常重要。 这是因为黑客经常更换软件来混淆和删除这些信息，例如子程序、库和程序调用的其他工具。

黑客可能会对系统进行更改，这些更改可能会使系统出现故障并看起来像正常，而事实并非如此。 例如，UNIX 系统的 PS 命令可以替换为不显示入侵过程的指令，或者可以将设备替换为读取与指定文件不同的文件的文件（票证持有者隐藏初始文件并将其替换为另一个版本）。

这就要求确保用于检测网络系统的软件的完整性，特别是入侵检测系统软件本身应该足够强大，以防止篡改和收集错误信息。

2）信号分析。以上四类中收集的关于系统、网络、数据和用户活动的状态和行为的信息，一般通过模式匹配、统计分析、完整性分析三种技术手段进行分析。

前两种方法用于实时入侵检测，而完整性分析用于事后分析。

异常入侵检测假定入侵者活动与正常活动不同寻常。 为了实现这种类型的检测，IDS建立了正常活动的“正常档案”，当受试者的活动违反其统计规则时，就被认为是“入侵”行为。 异常检测的优点之一是能够通过抽象系统的正常行为来检测系统的异常行为。

此功能不受系统之前是否意识到入侵的限制，因此它能够检测新的入侵。 大多数正常行为模型都使用矩阵的数学模型，矩阵的数量来自系统的各种指标。 例如，CPU 使用率、内存使用率、登录时间和次数、网络活动、文件更改等。

异常检测的缺点是，如果入侵者学习了检测规则，可以小心翼翼地避开系统指标的突然变化，并采用逐渐改变系统指标的方法来逃避检测。 此外，检测效率不高，检测时间长。

最重要的是，这是一种“事后”检测，当检测到入侵时，违规行为已经发生。

入侵检测系统 （IDS） 是一种软件或硬件系统，用于检测网络或系统上未经授权的活动。 常用的检测方法包括：

1.基于规则的检测：基于规则的检测方法使用预定义的规则来检测攻击。 例如，如果在网络流量中检测到特定的弹簧串，则可以认为发生了攻击。

2.基于模式的检测：基于模式的检测使用预定义的模式来检测攻击行为。 例如，如果检测到网络流量中的特定数据包模式，则可以认为发生了攻击。

3.基于统计的检测：基于统计的检测方法使用统计分析来检测攻击。 例如，如果检测到网络流量中超出正常范围的数据包数量，则可以认为发生了攻击。

4.基于行为的检测：基于行为的检测使用系统或网络的正常行为作为基准，通过比较来检测异常行为。 例如，如果检测到系统文件已被修改或删除，则可以认为发生了攻击。

入侵检测系统的基本功能是一种网络安全设备，可立即监控网络传输，在检测到可疑传输时发出警报或采取主动响应措施。

入侵检测系统与其他网络安全设备的不同之处在于它是一种主动安全技术。 在很多大中型企业、**机构中，都会有入侵检测系统。 如果说防火墙是建筑物的门锁，那么入侵检测系统就是建筑物中的监控系统。

一旦小偷进入大楼，或者里面有人越界，只有实时监控系统才能检测到情况并发出警告。

从专业角度来说，入侵检测系统按照一定的安全策略对网络和系统的运行状态进行监控，尽可能发现各种攻击企图、攻击行为或攻击结果，确保网络系统资源的机密性、完整性和可用性。 与防火墙不同，入侵检测系统是一种旁路侦听设备，它不需要也不需要桥接任何链路，也不需要网络流量流过它即可工作。 因此，部署入侵检测系统的唯一要求是：

入侵检测系统应连接到所有感兴趣的流量必须流经的链路。

入侵检测

系统（以下简称“IDS”）是一种网络安全设备，它提供对网络传输的实时监控，并在检测到可疑传输时提供警报或主动响应措施。 IDS与其他网络安全设备的不同之处在于，IDS是一种主动安全保护技术。

IDS 于 1980 年 4 月首次出现。 那一年，詹姆斯

对于美国空军，他写了一篇题为“计算机”的论文

security

threat

monitoring

和监视“，其中他提出了 IDS 的概念。

在 1980 年代中期，IDS 演变为入侵检测专家系统 （IDES）。

2024年，IDS分为基于网络的IDS和基于主机的IDS。 后来，分布式IDS出现了。 目前，IDS正在快速增长，有人声称IDS可以完全取代防火墙。

让我们做一个比喻：如果防火墙是建筑物的看门人，那么IDS就是建筑物中的监视系统。 一旦窃贼爬过窗户进入建筑物，或者里面有人越界，只有实时监控系统才能检测到情况并发出警告。

IDS入侵检测系统根据信息和检测方法的差异分为几类。 根据信息**可分为主机IDS和基于网络的IDS，根据检测方法可分为异常入侵检测和滥用入侵检测。 与防火墙不同，IDS入侵检测系统是一种侦听设备，它不连接到任何链路，也不需要网络流量流过它即可工作。

因此，部署 IDS 的唯一要求是 IDS 应连接到所有感兴趣的流量必须流经的链路。 在这里"感兴趣的流量"指来自高危网络区域的访问流量和需要收集和监控的网络报文。

在当今的网络拓扑结构中，很难找到以前具有共享媒体冲突域的集线器式网络，并且大部分网络区域已全面升级为交换网络结构。 因此，IDS在交换网络中的位置通常选择在以下位置：

1）尽可能接近攻击源。

2） 尽可能靠近受保护的资源。

这些位置通常是：

在服务器区域中的交换机上。

第一次切换后的 Internet 访问路由器。

在密钥保护网段的局域网交换机上。

由于近年来入侵检测系统市场的快速增长，许多公司都在该领域进行了投资。 启明星辰， 互联网

security

System （ISS）、思科、赛门铁克等公司都推出了自己的产品。 系统分类 入侵检测系统根据检测对象的不同可分为主机类型和网络类型。

入侵检测是对入侵行为的检测。 它通过收集和分析网络行为、安全日志、审计数据、其他网络上可用的信息以及来自计算机系统中多个关键点的信息来检查网络或系统是否存在违反安全策略和攻击迹象。 入侵检测是一种主动安全技术，可针对内部攻击、外部攻击和滥用提供实时保护，在网络系统受到损害之前拦截和响应入侵。

因此，它被认为是仅次于防火墙的第二道安全门，可以在不影响网络性能的情况下监控网络。 入侵检测是通过执行以下任务来实现的：监视和分析用户和系统活动; 对系统架构和弱点进行审计; 确定反映已知犯罪行为的活动模式，并提醒相关人员; 异常行为模式的统计分析; 评估关键系统和数据文件的完整性; 对操作系统的审核跟踪进行管理，并识别违反安全策略的用户。

入侵检测技术是保证计算机系统和设计安全的结构，系统能够检测和报告技术中的未经授权或异常现象，而计算机网络技术是检测违反安全策略的行为。 入侵检测是软件和硬件入侵检测系统的组合。

关于入侵检测系统的含义，解释了计算机术语。

入侵检测 Syetem，简称 IDS。 即检测入侵行为。 它通过收集和分析计算机网络或计算机系统中几个关键点的信息来检查网络或系统是否违反安全策略和攻击迹象。

用于入侵检测的软件和硬件的组合是 IDS。