一、入侵检测系统(IDS)的简介、分类与发展
-
入侵检测系统(Intrusion Detection System,IDS)简介
入侵检测系统是一种结合了软件和硬件的技术,用于监控网络或系统,以识别恶意活动并立即发出警报,从而保护系统资源的完整性、保密性和可用性。与其他安全技术不同,入侵检测技术是一种积极主动的防御手段,能够有效防止未知攻击。可以将入侵检测系统比作大厦中的监控系统,如果防火墙是大厦的门锁,那么入侵检测系统就是大厦内部的监控。一旦小偷进入大厦,或内部人员有越界行为,监控系统能立即发出警报。因此,入侵检测系统应当放置在需要监控的流量数据必经的链路上。
-
入侵检测系统的架构
- 事件产生器:负责从整个网络中获取事件,并将获取的事件提供给系统的其他部分。
- 事件分析器:负责分析获取的事件,如果发现异常,则通知响应单元。
- 响应单元:负责对分析结果做出相应的反应。
- 事件数据库:存储过程数据。
分类
- 基于网络的IDS(NIDS):监控整个网络中的流量数据,寻找潜在的攻击和异常行为。
- 基于主机的IDS(HIDS):监控特定主机上的活动,如文件更改、进程启动、系统