入侵檢測裝置ids

❶ 求達人翻譯一段英文，關於入侵監測系統（IDS）的

在一個基於網路的入侵檢測系統（網路入侵檢測系統） ，感測器，分別位於窒息點在網路中加以監測，往往是在非軍事區（ DMZ ）或在網路的邊界。感測器捕捉的所有網路流量分析的內容，個別的數據包的惡意流量。在系統， pids和apids是用來監測運輸和議定書的非法或不適當的交通或建構的語言（說的SQL ） 。在一個基於主機系統，感測器通常一個軟體Agent ，監測所有的活動，該主機的安裝它。雜交種的這兩個系統也存在。 1網路入侵檢測系統是一個獨立的平台，其中確定了入侵研究的網路流量和監測多個主機。網路入侵檢測系統獲得的網路流量通過連接到集線器，網路交換機配置為港口鏡像，或網路的自來水。一個例子，一個是網路入侵檢測系統Snort的。 1基於協議的入侵檢測系統包括一個系統或代理人，通常坐於前端伺服器，監測和分析通信協議之間的連接的裝置（用戶/ PC或系統） 。為Web伺服器，這通常是監察HTTPS協議流和理解HTTP協議的相對到Web伺服器/系統，這是試圖保護。凡通過https是在使用這個系統，然後將需要居住在「沉」或之間的介面的地方是聯合國通過https加密，並立即之前，它進入Web演示文稿層。 1應用協議為基礎的入侵檢測系統包括一個系統或代理人通常會坐在一組伺服器，監測和分析通信應用的具體協議。例如，在Web伺服器與資料庫，這將監測的SQL議定書具體到中間件/商業登錄交易，因為它與資料庫。 1基於主機的入侵檢測系統的一劑對東道國確定入侵通過分析系統調用，應用程序日誌，文件系統修改（二進制文件，密碼文件，能力/資料庫的ACL ）和其他東道國的活動和狀態。一個例子，一個hids是ossec 。 混合的入侵檢測系統相結合的兩個或兩個以上的辦法。主機代理的數據相結合的網路信息，形成一個全面的看法網路。一個例子，一種混合入侵檢測系統是前奏。

❷ 入侵檢測系統可以分為哪幾類

分為兩類：

1、信息來源一類：基於主機IDS和基於網路的IDS。

2、檢測方法一類：異常入侵檢測和誤用入侵檢測。

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

IDS最早出現在1980年4月。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。

(2)入侵檢測裝置ids擴展閱讀：

對IDS的要求：

IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。

因此，IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是：伺服器區域的交換機上；Internet接入路由器之後的第一台交換機上；重點保護網段的區域網交換機上。由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。

❸ 畢業設計是關於入侵檢測系統(IDS)，請教幾個問題。

不好意思哦
我只會一點，但我現在在加緊學哦，入侵檢測是什麼意思？
我說說看你看有沒有什麼用啊``我會的……
首先呢，要看一下用戶名有沒有弱口令之類的，然後就是不要開啟不需要的服務，詳細的你可以去網上查一下，埠，還有埠，黑客經常利用埠入侵的，基於協議分析的入侵檢測系統是什麼意思呢？TCP/IP協議么？
還有好象就是時不時的檢查一下有沒有漏洞之類的類，最好把所有的漏洞補丁都打上，防止別人ARP攻擊，還有使用死亡之ping類的攻擊啊什麼的，好多好多呢，
我只知道這么多，不知道你說的基於協議分析的入侵檢測系統是什麼意思？不知道你看了有沒有什麼用，不好意思，呵呵……
交個朋友啊，我QQ249977627，驗證註明信息管理``

❹ IDS入侵檢測系統的方法有幾種

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計 數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。

❺ 入侵檢測系統（IDS）+防火牆+入侵防護系統(IPS)能代替殺毒軟體嗎

IDS是防止外界入侵的（比如黑客利用你的漏洞而執行代碼而到達遠程安裝非法程序操控你的系統，IDS利用檢測非法程序並阻止非法程序的遠程安裝），而殺毒軟體便是將本地的非法程序清除！

❻ 23、入侵檢測系統(IDS)分為基於主機的IDS 和基於網路的IDS，二者的區別在於( )

選擇D 主機型入侵檢測相當於軟體，網路型是硬體的專用設備類似於防火牆，cisco 安奈特 這些美國廠商都有生產

❼ 如何在CentOS上配置基於主機的入侵檢測系統(IDS)的教程

所有系統管理員想要在他們生產伺服器上首先要部署的安全手段之一，就是檢測文件篡改的機制——不僅僅是文件內容，而且也包括它們的屬性。

AIDE （「高級入侵檢測環境」的簡稱）是一個開源的基於主機的入侵檢測系統。AIDE通過檢查大量文件屬性的不一致性來檢查系統二進制文件和基本配置文件的完整性，這些文件屬性包括許可權、文件類型、索引節點、鏈接數、鏈接名、用戶、組、文件大小、塊計數、修改時間、添加時間、創建時間、acl、SELinux安全上下文、xattrs，以及md5/sha校驗值在內的各種特徵。

AIDE通過掃描一台（未被篡改）的Linux伺服器的文件系統來構建文件屬性資料庫，以後將伺服器文件屬性與資料庫中的進行校對，然後在伺服器運行時對被修改的索引了的文件發出警告。出於這個原因，AIDE必須在系統更新後或其配置文件進行合法修改後重新對受保護的文件做索引。

對於某些客戶，他們可能會根據他們的安全策略在他們的伺服器上強制安裝某種入侵檢測系統。但是，不管客戶是否要求，系統管理員都應該部署一個入侵檢測系統，這通常是一個很好的做法。

在 CentOS或RHEL 上安裝AIDE

AIDE的初始安裝（同時是首次運行）最好是在系統剛安裝完後，並且沒有任何服務暴露在互聯網甚至區域網時。在這個早期階段，我們可以將來自外部的一切闖入和破壞風險降到最低限度。事實上，這也是確保系統在AIDE構建其初始資料庫時保持干凈的唯一途徑。（LCTT 譯註：當然，如果你的安裝源本身就存在安全隱患，則無法建立可信的數據記錄）

出於上面的原因，在安裝完系統後，我們可以執行下面的命令安裝AIDE：

# yum install aide

我們需要將我們的機器從網路斷開，並實施下面所述的一些基本配置任務。

配置AIDE

默認配置文件是/etc/aide.conf，該文件介紹了幾個示例保護規則（如FIPSR，NORMAL，DIR，DATAONLY），各個規則後面跟著一個等號以及要檢查的文件屬性列表，或者某些預定義的規則（由+分隔）。你也可以使用此種格式自定義規則。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512

例如，上面的例子說明，NORMAL規則將檢查下列屬性的不一致性：許可權（p）、索引節點（i）、鏈接數（n）、用戶（u）、組（g）、大小（s）、修改時間（m）、創建時間（c）、ACL（acl）、SELinux（selinux）、xattrs（xattr）、SHA256/SHA512校驗和（sha256和sha512）。

定義的規則可靈活地用於不同的目錄和文件（用正則表達式表示）。

條目之前的感嘆號（！）告訴AIDE忽略子目錄（或目錄中的文件），對於這些可以另外定義規則。

在上面的例子中，PERMS是用於/etc機器子目錄和文件的默認規則。然而，對於/etc中的備份文件（如/etc/.*~）則不應用任何規則，也沒有規則用於/etc/mtab文件。對於/etc中的其它一些選定的子目錄或文件，使用NORMAL規則替代默認規則PERMS。

定義並應用正確的規則到系統中正確的位置，是使用AIDE最難的一部分，但作一個好的判斷是一個良好的開始。作為首要的一條規則，不要檢查不必要的屬性。例如，檢查/var/log或/var/spool里頭的文件的修改時間將導致大量誤報，因為許多的應用程序和守護進程經常會寫入內容到該位置，而這些內容都沒有問題。此外，檢查多個校驗值可能會加強安全性，但隨之而來的是AIDE的運行時間的增加。

可選的，如果你使用MAILTO變數指定電子郵件地址，就可以將檢查結果發送到你的郵箱。將下面這一行放到/etc/aide.conf中的任何位置即可。

MAILTO=root@localhost

首次運行AIDE

運行以下命令來初始化AIDE資料庫：

# aide --init

根據/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名為/var/lib/aide/aide.db.gz，以便AIDE能讀取它：

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz

現在，是時候來將我們的系統與資料庫進行第一次校對了。任務很簡單，只需運行：

# aide

在沒有選項時，AIDE假定使用了--check選項。

如果在資料庫創建後沒有對系統做過任何修改，AIDE將會以OK信息來結束本次校對。

生產環境中管理AIDE

在構建了一個初始AIDE資料庫後，作為不斷進行的系統管理活動，你常常需要因為某些合法的理由更新受保護的伺服器。每次伺服器更新後，你必須重新構建AIDE資料庫，以更新資料庫內容。要完成該任務，請執行以下命令：

# aide --update

要使用AIDE保護生產系統，可能最好通過任務計劃調用AIDE來周期性檢查不一致性。例如，要讓AIDE每天運行一次，並將結果發送到郵箱：

# crontab -e

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" [email protected]

測試AIDE檢查文件篡改

下面的測試環境將演示AIDE是如何來檢查文件的完整性的。

測試環境 1

讓我們添加一個新文件（如/etc/fake）。

# cat /dev/null > /etc/fake

測試環境 2

讓我們修改文件許可權，然後看看它是否被檢測到。

# chmod 644 /etc/aide.conf

測試環境 3

最後，讓我們修改文件內容（如，添加一個注釋行到/etc/aide.conf）。

echo "#This is a comment" >> /etc/aide.conf

上面的截圖中，第一欄顯示了文件的屬性，第二欄是AIDE資料庫中的值，而第三欄是更新後的值。第三欄中空白部分表示該屬性沒有改動（如本例中的ACL）。

結尾

如果你曾經發現你自己有很好的理由確信系統被入侵了，但是第一眼又不能確定到底哪些東西被改動了，那麼像AIDE這樣一個基於主機的入侵檢測系統就會很有幫助了，因為它可以幫助你很快識別出哪些東西被改動過，而不是通過猜測來浪費寶貴的時間。謝謝閱讀，希望能幫到大家，請繼續關注，我們會努力分享更多優秀的文章。

❽ 根據檢測原理,入侵檢測(IDS)可分為幾種其屬性分別是什麼

分為兩類：

1、信息來源一類：基於主機IDS和基於網路的IDS。

2、檢測方法一類：異常入侵檢測和誤用入侵檢測。

IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。

在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。

(8)入侵檢測裝置ids擴展閱讀：

入侵檢測系統分為四個組件:

1，事件產生器(Eventgenerators)，它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2，事件分析器(Eventanalyzers)，它經過分析得到數據，並產生分析結果。

3，響應單元(Responseunits)，它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4，事件資料庫(Eventdatabases)事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

❾ 網路安全監測裝置是IDS設備嗎

❿ 簡述入侵檢測系統功能部件組成

1. 入侵者進入我們的系統主要有三種方式： 物理入侵 、系統入侵、遠程入侵。

2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。

3. 入侵檢測系統由三個功能部分組成，它們分別是感應器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和

基於網路的入侵檢測系統。

5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。

6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。

二、選擇題

1. IDS產品相關的等級主要有(BCD)等三個等級：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS處理過程分為(ABCD )等四個階段。

A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段

3. 入侵檢測系統的主要功能有(ABCD )：

A: 監測並分析系統和用戶的活動

B: 核查系統配置和漏洞

C: 評估系統關鍵資源和數據文件的完整性。

D: 識別已知和未知的攻擊行為

4. IDS產品性能指標有(ABCD )：

A: 每秒數據流量

B: 每秒抓包數

C: 每秒能監控的網路連接數

D: 每秒能夠處理的事件數

5. 入侵檢測產品所面臨的挑戰主要有(ABCD )：

A: 黑客的入侵手段多樣化

B: 大量的誤報和漏報

C: 惡意信息採用加密的方法傳輸

D: 客觀的評估與測試信息的缺乏

三、判斷題

1. 有了入侵檢測系統以後，我們可以徹底獲得網路的安全。(F )

2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )

3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )

4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )

四、簡答題

1. 什麼是入侵檢測系統？簡述入侵檢測系統的作用？

答：入侵檢測系統（Intrusion Detection System,簡稱IDS）是進行入侵檢測的軟體與硬體的組合，事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。 入侵檢測系統的作用主要是通過監控網路、系統的狀態，來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。

2. 比較一下入侵檢測系統與防火牆的作用。

答：防火牆在網路安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網路安全的第一道關卡。IDS是並聯在網路中，通過旁路監聽的方式實時地監視網路中的流量，對網路的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說，IDS是網路安全的第二道關卡，是防火牆的必要補充。

3. 簡述基於主機的入侵檢測系統的優缺點？

答：優點：①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境

④成本低

缺點：①它在一定程度上依靠系統的可靠性，要求系統本身具有基本的安全功能，才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外，根本不檢測網路上的情況

4. 簡述基於網路的入侵檢測系統的優缺點？

答：優點：①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊

缺點：①網路入侵檢測系統只能檢查它直接連接的網段的通信，不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法，只可以檢測出普通的一些攻擊，而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流，處理加密的會話過程比較困難。

5. 為什麼要對入侵檢測系統進行測試和評估？

答：①有助於更好地描述IDS的特徵。②通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估，確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果，可做出一些預測，推斷IDS發展的趨勢，估計風險，制定可實現的IDS質量目標(比如，可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果，對IDS進行改善。

6. 簡述IDS的發展趨勢？

答：①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向