Abstract:网络中的入侵检测系统(Intrusion Detection System, IDS)就如同物理世界的防盗自动警铃一样,对周围正在进行的各种活动进行监视。有两种模型,一种是基于主机的IDS,一种是基于网络的IDS。这两种模型比较相似,核心部件都是通信流收集器,分析引擎以及特征数据库。基于主机的IDS搜集本机的日志文件和其他关键文件,基于网络的IDS搜集的是流经本网段的所有数据包。分析引擎获得数据之后与特征数据库中的记录进行模式匹配,从而觉得哪些行为是好的,哪些行为是坏的。
目录
基于主机的IDS:
只关注单个系统,通常看不到周围网络的活动。检查日志文件,审计信息以及出入系统的网络流量。
![](https://i-blog.csdnimg.cn/blog_migrate/23fc13377e3a96908e3fa5e9c6c0c379.png)
通信流收集器:收集错误报告、日志文件和系统文件从中选择感兴趣的内容,并把他们传输给分析引擎
分析引擎:IDS最重要的组成部分,因为它决定哪些行为是“好”的,哪些是“坏”的。是一个复杂精密的决策和模式匹配机制——他检查通信流收集器收集的信息,并试图把他们与特征数据库中的行为模式向匹配。如果行为与已知的模式相匹配,那么分析引擎做出反应,通常是发出预警或警报。
特征数据库:是一系列行为模式的集合,这些行为模式是根据已识别和分类的可疑、恶意行为模式预定义在数据库中的
用户界面:是IDS的可视部分,也是用户和系统交互的部分。
许多机构在运行基于主机的IDS多年后,开始对维护IDS所花费的时间、精力和金钱难以忍受。设计者开始把系统的焦点转移到大量恶意流量的来源——网络本身。
基于网络的IDS:
只检测网络连接上的流量,看不到单个系统的具体情况,要检查连接网络的连接的网络的每一个数据包,其结构和基于主机的IDS很相似
![](https://i-blog.csdnimg.cn/blog_migrate/63f08bdbbc32194ab91635806e82f99a.png)
目前最流行的网络IDS分布方式是将IDS放在防火墙的后面,这样由于防火墙的过滤,不会产生过多的警报
![](https://i-blog.csdnimg.cn/blog_migrate/48e03a0aa26363f691368c766e302437.png)