ids入侵檢測裝置

⑴ 什麼是IDS，它有哪些基本功能

IDS是入侵檢測系統。

（1）基於主機的IDS保護的是其所在的系統，運行在其所監視的系統之上；

（2）基於網路的IDS保護的是整個網段，部署於全部流量都要經過的某台設備上。

入侵檢測可分為實時入侵檢測和事後入侵檢測兩種。

實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

而事後入侵檢測則是由具有網路安全專業知識的網路管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防禦入侵的能力不如實時入侵檢測系統。

(1)ids入侵檢測裝置擴展閱讀：

按輸入入侵檢測系統的數據的來源來分，可以分為三類：

1、基於主機的入侵檢測系統：其輸入數據來源於系統的審計日誌，一般只能檢測該主機上發生的入侵；

2、基於網路的入侵檢測系統：其輸入數據來源於網路的信息流，能夠檢測該網段上發生的網路入侵；

3、採用上述兩種數據來源的分布式入侵檢測系統：它能夠同時分析來源於系統的審計日誌和來源於網路的信息流，這種系統一般由多個部件組成。

⑵ 什麼是入侵檢測

檢查是否有可疑活動或者違反企業的政策。
入侵檢測系統（英語：Intrusion-detection system，縮寫為 IDS）是一種網路安全設備或應用軟體，可以監控網路傳輸或者系統，檢查是否有可疑活動或者違反企業的政策。偵測到時發出警報或者採取主動反應措施。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。
IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念。1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。1990年，IDS分化為基於網路的N-IDS和基於主機的H-IDS。後又出現分布式D-IDS。

⑶ 入侵檢測系統（IDS）+防火牆+入侵防護系統(IPS)能代替殺毒軟體嗎

不能代替的，它們各自的功能和作用是不同的。
入侵檢測系統（IDS）:專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

入侵防護系統（IPS）：是指能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

防火牆：它是一種位於內部網路與外部網路之間的網路安全系統。一種信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。
一般是IDS+防火牆的組合或者IPS+防火牆的組合來完成對網路安全防護。

殺毒軟體：也稱反病毒軟體或防毒軟體，是用於消除電腦病毒、特洛伊木馬和惡意軟體等計算機威脅的一類軟體。病毒軟體（程序）是一種在電腦（終端）上運行的，可以類似生物病毒發病機理的，通過一定條件下來觸發運行的小程序，包括電腦病毒程序及一些惡意軟體等。

以上描述可以看出他們的作用各不相同，所以不能相互代替，可以完全組合起來發現各自的作用，盡可能保障網路的信息安全。

⑷ 入侵檢測系統基本知識

入侵檢測，顧名思義，就是對入侵行為的發現。入侵檢測系統（Intrusion DetectionSystem，IDS）就是能夠完成入侵檢測功能的計算機軟硬體系統。它通過對計算機網路或計算機系統中若干關鍵點收集信息並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測技術從計算機系統中的若干個節點獲取不同信息，然後對數據進行分析，判定是否有違反安全策略的行為，從而對這些行為進行不同級別的告警。

入侵檢測是一種能夠積極主動地對網路進行保護的方法。由於攻擊行為可以從外部網路發起，也可以從內部發起，還包括合法內部人員由於失誤操作導致的虛假攻擊，入侵檢測會對以上三個方面進行分析。
如果發現網路有受到攻擊的跡象，那麼就會對該行為做出相應的處理。入侵檢測技術在監控網路的同時對網路的性能影響不大。可以簡單地把入侵檢測技術理解為一個有著豐富經驗的網路偵查員，任務就是分析系統中的可疑信息，並進行相應的處理。入侵檢測系統是一個相對主動的安全部件，可以把入侵檢測看成網路防火牆的有效補充。

入侵檢測技術的主要作用體現以下這些方面：

入侵檢測系統一般不採取預防的措施來防止入侵事件的發生。入侵檢測作為安全技術，主要目的有：

⑸ 根據檢測原理,入侵檢測(IDS)可分為幾種其屬性分別是什麼

分為兩類：

1、信息來源一類：基於主機IDS和基於網路的IDS。

2、檢測方法一類：異常入侵檢測和誤用入侵檢測。

IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。

在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。

(5)ids入侵檢測裝置擴展閱讀：

入侵檢測系統分為四個組件:

1，事件產生器(Eventgenerators)，它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2，事件分析器(Eventanalyzers)，它經過分析得到數據，並產生分析結果。

3，響應單元(Responseunits)，它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4，事件資料庫(Eventdatabases)事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

⑹ 入侵檢測系統IDS是什麼，入侵檢測系統的原理是什麼

入侵檢測系統(IDS)是對網路傳輸進行實時監控的一種安全保障。不同於傳統的網路安全設備，當檢測到外星入侵者時，會立即報警並採取積極的應對措施。而且他內置了入侵知識庫，對網路上的流量特徵進行收集和分析，一旦在高合規或者大流量的情況下，會立即預警或者反擊。

一、入侵檢測系統的工作

入侵檢測系統簡稱IDS。IDS主要分為兩部分:檢測引擎和控制中心。檢測引擎用於分析和讀取數據。當控制中心接收到一個來自伊寧的數據時，會對數據進行過濾，進行檢測分析，如果有威脅會立即報警。一些正常用戶的異常檢測行為，偏離了正常的活動規律，也會被視為攻擊企圖，會立即產生狀態信號。IDS就像是對金庫的監控。一旦有人准備入侵監控，或者在門前做了什麼，就會被自己的控制中心檢測到。

以上就是有關於入侵檢測系統IDS是什麼，入侵檢測系統的原理是什麼？的相關回答了，你了解了嗎

⑺ IDS的基本功能有哪些

1、從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、經過分析得到數據，並產生分析結果。

3、對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

IDS系統缺陷

1998年2月，Secure Networks Inc.指出IDS有許多弱點，主要為：IDS對數據的檢測；對IDS自身攻擊的防護。由於當代網路發展迅速，網路傳輸速率大大加快，這造成了IDS工作的很大負擔，也意味著IDS對攻擊活動檢測的可靠性不高。

而IDS在應對自身的攻擊時，對其他傳輸的檢測也會被抑制。同時由於模式識別技術的不完善，IDS的高虛警率也是它的一大問題。

⑻ IDS入侵檢測的基本介紹

做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。
在本質上，入侵檢測系統是一個典型的窺探設備。它不跨接多個物理網段（通常只有一個監聽埠），無須轉發任何流量，而只需要在網路上被動的、無聲息的收集它所關心的報文即可。對收集來的報文，入侵檢測系統提取相應的流量統計特徵值，並利用內置的入侵知識庫，與這些流量特徵進行智能分析比較匹配。根據預設的閥值，匹配耦合度較高的報文流量將被認為是進攻，入侵檢測系統將根據相應的配置進行報警或進行有限度的反擊。

⑼ ids是什麼意思

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

IDS最早出現在1980年4月。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。

⑽ IDS入侵檢測的詳細介紹

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上入侵檢測系統的原理模型如圖所示。
入侵檢測系統的工作流程大致分為以下幾個步驟：
1.信息收集 入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。
2.信號分析 對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
具體的技術形式如下所述：
1).模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。
2).統計分析
分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。
3).完整性分析
完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。
3.實時記錄、報警或有限度反擊
IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。
經典的入侵檢測系統的部署方式如圖所示：