什么是入侵检测系统？ 它的基本组成部分是什么？

入侵检测系统中使用的技术可分为两种类型：特征检测和异常检测。

1.特征检测。

基于签名的检测，也称为误用检测，假设入侵者活动可以用模式表示，并且系统的目标是检测受试者的活动是否符合这些模式。

它可以检查现有的入侵方法，但不能对新的入侵方法做任何事情。 挑战在于设计表达“入侵”现象的模式，而不包括正常活动。

2.异常检测。

异常检测基于入侵者的活动与正常对象的活动异常的假设。 根据这一概念，建立主体正常活动的“活动概况”，并将主体当前的活动状态与“活动概况”进行比较，当违反其统计规律时，可以认为该活动是“入侵”行为。

异常检测的挑战是如何构建“活动配置文件”以及如何设计统计算法，以便正常操作不被视为“入侵”或忽略真正的“入侵”。

入侵检测是对防火墙的合理补充。

入侵检测的系统结构包括：

1.事件生成器：其目的是从整个计算环境中获取事件，并将该事件提供给系统的其余部分。

2、事件分析器：通过分析获取数据，产生分析结果。

3.响应单元：是对分析结果做出反应的功能单元，可以做出强烈的响应，如切断连接、更改文件属性等，也可以只是给出简单的报警。

它分为两大类：2.检测方法分为一类：异常入侵检测和滥用入侵检测。

入侵检测系统（IDS）是一种网络安全设备，可实时监控网络传输，并在发现可疑传输时发出警报或采取主动响应措施。 IDS与其他网络安全设备的不同之处在于，IDS是一种主动安全保护技术。

IDS 于 1980 年 4 月首次出现。 在 1980 年代中期，IDS 演变为入侵检测专家系统 （IDES）。 1990年，IDS分为基于网络的IDS和基于主机的IDS。

后来，分布式IDS出现了。 目前，IDS正在快速增长，有人声称IDS可以完全取代防火墙。

入侵检测系统（IDS）是一种计算机网络安全设备，其主要目的是检测计算机和网络中的入侵。 入侵检测系统监控网络流量，分析网络数据包，并分析设备日志中的事件，以确定是否存在恶意或异常网络行为。 系统可以是网络中的独立设备，也可以是计算机上运行的软件。

入侵检测系统可以在检测到异常活动时向管理员发出警报或采取其他措施来保护网络。

入侵检测系统的主要优点是它可以帮助识别威胁，以便尽早采取措施防止网络安全漏洞被利用。 另一个优点是，入侵检测系统是一种主动安全措施，可以在恶意行为发生之前采取措施。 该系统还可以帮助组织满足监管要求和法规，并更好地管理风险。

然而，入侵检测系统的局限性也是显而易见的。 主要限制之一是可以绕过它; 发生这种情况时，入侵检测系统无法检测入侵。 此外，入侵检测系统可能会产生大量误报，这会浪费管理员查看这些报告的时间和精力，并增加管理网络安全的复杂性。

此外，如果配置和管理不当，入侵检测系统可能会产生不必要的漏洞和安全问题。

总之，入侵检测系统是组织安全架构的重要组成部分，但这并不意味着它可以完全取代其他网络安全措施，例如入侵防御系统。 其实际有效性取决于适当的配置和管理。 因此，组织应考虑将入侵检测系统与其他安全措施结合使用，以最大限度地提高网络安全性。

入侵检测系统的基本功能是一种网络安全设备，可立即监控网络传输，在检测到可疑传输时发出警报或采取主动响应措施。

入侵检测系统与其他网络安全设备的不同之处在于它是一种主动安全技术。 在很多大中型企业、**机构中，都会有入侵检测系统。 如果说防火墙是建筑物的门锁，那么入侵检测系统就是建筑物中的监控系统。

一旦小偷进入大楼，或者里面有人越界，只有实时监控系统才能检测到情况并发出警告。

从专业角度来说，入侵检测系统按照一定的安全策略对网络和系统的运行状态进行监控，尽可能发现各种攻击企图、攻击行为或攻击结果，确保网络系统资源的机密性、完整性和可用性。 与防火墙不同，入侵检测系统是一种旁路侦听设备，它不需要也不需要桥接任何链路，也不需要网络流量流过它即可工作。 因此，部署入侵检测系统的唯一要求是：

入侵检测系统应连接到所有感兴趣的流量必须流经的链路。