IDS的详细介绍

1. IDS的简单介绍

IDS是：入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

2. IDS和防火墙的不同区分

IDS和防火墙的区别：防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护的网络有害的流量或数据包）的设备。而IDS则是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

3. IDS的工作原理

IDS分为实时入侵检测和事后入侵检测：

实时入侵检测：在网络连接过程中进行，发现入侵迹象立即断开当前连接，并收集证据和实施数据恢复。

事后入侵检测：由安全人员进行检测。

入侵检测分类：基于网络：通过连接在网络的站点捕获数据包，分析是否具有已知攻击模式。

基于主机：通过分析系统审计数据来发现可疑活动，比如内存和文件的变化；输入数据只要来源于系统日志。

入侵检测技术途径：信息收集：系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。

数据分析：

IDS：入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。

4.IDS的主要检测方法的详细说明

4.1异常检测模型（Anomaly Detection)

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

4.2误用检测模型（Misuse Detection）

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测。

5.IDS的部署方式

5.1直路：直接串连进现网，可以对攻击行为进行实时防护，缺点是部署的时候需要断网，并增加了故障点

5.2单臂：旁挂在交换机上，不需改变现网，缺点是流量都经过一个接口，处理性能减半，另外不支持BYPASS

5.3旁路：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御

6. IDS的签名的意思，签名过滤器的作用，例外签名配置的作用。

6.1 IDS的签名：

入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

6.2 签名过滤器作用：

由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

6.3例外签名配置作用：

就是为了就是用于更细致化的进行IPS流量的放行。

阻断：丢弃命中签名的报文，并记录日志。

告警：对命中签名的报文放行，但记录日志。