一、什么是IDS
IDS是英文“IntrusionDetectionSystems”的缩写中文意思是入侵检测系统。在行业中,根据一定的安全策略监控网络和系统的运行,尽可能发现各种攻击企图、攻击行为或攻击结果,以确保网络系统资源的机密性、完整性和可用性。做一个图像类比,如果防雷墙是建筑物的门锁,那么IDS是建筑物中的监控系统。
二、IDS和防火墙的区别
-
防火墙是针对黑客攻击的一种被动的防御旨在保护,IDS 则是主动出击寻找潜在的攻击者发现入侵行为;
-
防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障,IDS 是对攻击作出反击的技术;
-
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS 则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;
-
防火墙可以允许内部的一些主机被外部访问,IDS 则没有这些功能,只是监视和分析用户和系统活动。
三、IDS的工作原理
IDS不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
四、IDS主要的检测方法
异常检测方法
在异常入侵检测系统中常常采用以下几种检测方法:
基于贝叶斯推理检测法:是通过在任何给定的时刻