入侵检测装置ids

❶ 求达人翻译一段英文，关于入侵监测系统（IDS）的

在一个基于网络的入侵检测系统（网络入侵检测系统） ，传感器，分别位于窒息点在网络中加以监测，往往是在非军事区（ DMZ ）或在网络的边界。传感器捕捉的所有网路流量分析的内容，个别的数据包的恶意流量。在系统， pids和apids是用来监测运输和议定书的非法或不适当的交通或建构的语言（说的SQL ） 。在一个基于主机系统，传感器通常一个软件Agent ，监测所有的活动，该主机的安装它。杂交种的这两个系统也存在。 1网络入侵检测系统是一个独立的平台，其中确定了入侵研究的网络流量和监测多个主机。网络入侵检测系统获得的网络流量通过连接到集线器，网络交换机配置为港口镜像，或网络的自来水。一个例子，一个是网络入侵检测系统Snort的。 1基于协议的入侵检测系统包括一个系统或代理人，通常坐于前端服务器，监测和分析通信协议之间的连接的装置（用户/ PC或系统） 。为Web服务器，这通常是监察HTTPS协议流和理解HTTP协议的相对到Web伺服器/系统，这是试图保护。凡通过https是在使用这个系统，然后将需要居住在“沉”或之间的接口的地方是联合国通过https加密，并立即之前，它进入Web演示文稿层。 1应用协议为基础的入侵检测系统包括一个系统或代理人通常会坐在一组服务器，监测和分析通信应用的具体协议。例如，在Web伺服器与资料库，这将监测的SQL议定书具体到中间件/商业登录交易，因为它与数据库。 1基于主机的入侵检测系统的一剂对东道国确定入侵通过分析系统调用，应用程序日志，文件系统修改（二进制文件，密码文件，能力/数据库的ACL ）和其他东道国的活动和状态。一个例子，一个hids是ossec 。 混合的入侵检测系统相结合的两个或两个以上的办法。主机代理的数据相结合的网络信息，形成一个全面的看法网络。一个例子，一种混合入侵检测系统是前奏。

❷ 入侵检测系统可以分为哪几类

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS最早出现在1980年4月。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

(2)入侵检测装置ids扩展阅读：

对IDS的要求：

IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。

❸ 毕业设计是关于入侵检测系统(IDS)，请教几个问题。

不好意思哦
我只会一点，但我现在在加紧学哦，入侵检测是什么意思？
我说说看你看有没有什么用啊``我会的……
首先呢，要看一下用户名有没有弱口令之类的，然后就是不要开启不需要的服务，详细的你可以去网上查一下，端口，还有端口，黑客经常利用端口入侵的，基于协议分析的入侵检测系统是什么意思呢？TCP/IP协议么？
还有好象就是时不时的检查一下有没有漏洞之类的类，最好把所有的漏洞补丁都打上，防止别人ARP攻击，还有使用死亡之ping类的攻击啊什么的，好多好多呢，
我只知道这么多，不知道你说的基于协议分析的入侵检测系统是什么意思？不知道你看了有没有什么用，不好意思，呵呵……
交个朋友啊，我QQ249977627，验证注明信息管理``

❹ IDS入侵检测系统的方法有几种

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

❺ 入侵检测系统（IDS）+防火墙+入侵防护系统(IPS)能代替杀毒软件吗

IDS是防止外界入侵的（比如黑客利用你的漏洞而执行代码而到达远程安装非法程序操控你的系统，IDS利用检测非法程序并阻止非法程序的远程安装），而杀毒软件便是将本地的非法程序清除！

❻ 23、入侵检测系统(IDS)分为基于主机的IDS 和基于网络的IDS，二者的区别在于( )

选择D 主机型入侵检测相当于软件，网络型是硬件的专用设备类似于防火墙，cisco 安奈特 这些美国厂商都有生产

❼ 如何在CentOS上配置基于主机的入侵检测系统(IDS)的教程

所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一，就是检测文件篡改的机制——不仅仅是文件内容，而且也包括它们的属性。

AIDE （“高级入侵检测环境”的简称）是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性，这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs，以及md5/sha校验值在内的各种特征。

AIDE通过扫描一台（未被篡改）的Linux服务器的文件系统来构建文件属性数据库，以后将服务器文件属性与数据库中的进行校对，然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因，AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。

对于某些客户，他们可能会根据他们的安全策略在他们的服务器上强制安装某种入侵检测系统。但是，不管客户是否要求，系统管理员都应该部署一个入侵检测系统，这通常是一个很好的做法。

在 CentOS或RHEL 上安装AIDE

AIDE的初始安装（同时是首次运行）最好是在系统刚安装完后，并且没有任何服务暴露在互联网甚至局域网时。在这个早期阶段，我们可以将来自外部的一切闯入和破坏风险降到最低限度。事实上，这也是确保系统在AIDE构建其初始数据库时保持干净的唯一途径。（LCTT 译注：当然，如果你的安装源本身就存在安全隐患，则无法建立可信的数据记录）

出于上面的原因，在安装完系统后，我们可以执行下面的命令安装AIDE：

# yum install aide

我们需要将我们的机器从网络断开，并实施下面所述的一些基本配置任务。

配置AIDE

默认配置文件是/etc/aide.conf，该文件介绍了几个示例保护规则（如FIPSR，NORMAL，DIR，DATAONLY），各个规则后面跟着一个等号以及要检查的文件属性列表，或者某些预定义的规则（由+分隔）。你也可以使用此种格式自定义规则。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512

例如，上面的例子说明，NORMAL规则将检查下列属性的不一致性：权限（p）、索引节点（i）、链接数（n）、用户（u）、组（g）、大小（s）、修改时间（m）、创建时间（c）、ACL（acl）、SELinux（selinux）、xattrs（xattr）、SHA256/SHA512校验和（sha256和sha512）。

定义的规则可灵活地用于不同的目录和文件（用正则表达式表示）。

条目之前的感叹号（！）告诉AIDE忽略子目录（或目录中的文件），对于这些可以另外定义规则。

在上面的例子中，PERMS是用于/etc机器子目录和文件的默认规则。然而，对于/etc中的备份文件（如/etc/.*~）则不应用任何规则，也没有规则用于/etc/mtab文件。对于/etc中的其它一些选定的子目录或文件，使用NORMAL规则替代默认规则PERMS。

定义并应用正确的规则到系统中正确的位置，是使用AIDE最难的一部分，但作一个好的判断是一个良好的开始。作为首要的一条规则，不要检查不必要的属性。例如，检查/var/log或/var/spool里头的文件的修改时间将导致大量误报，因为许多的应用程序和守护进程经常会写入内容到该位置，而这些内容都没有问题。此外，检查多个校验值可能会加强安全性，但随之而来的是AIDE的运行时间的增加。

可选的，如果你使用MAILTO变量指定电子邮件地址，就可以将检查结果发送到你的邮箱。将下面这一行放到/etc/aide.conf中的任何位置即可。

MAILTO=root@localhost

首次运行AIDE

运行以下命令来初始化AIDE数据库：

# aide --init

根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz，以便AIDE能读取它：

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz

现在，是时候来将我们的系统与数据库进行第一次校对了。任务很简单，只需运行：

# aide

在没有选项时，AIDE假定使用了--check选项。

如果在数据库创建后没有对系统做过任何修改，AIDE将会以OK信息来结束本次校对。

生产环境中管理AIDE

在构建了一个初始AIDE数据库后，作为不断进行的系统管理活动，你常常需要因为某些合法的理由更新受保护的服务器。每次服务器更新后，你必须重新构建AIDE数据库，以更新数据库内容。要完成该任务，请执行以下命令：

# aide --update

要使用AIDE保护生产系统，可能最好通过任务计划调用AIDE来周期性检查不一致性。例如，要让AIDE每天运行一次，并将结果发送到邮箱：

# crontab -e

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" [email protected]

测试AIDE检查文件篡改

下面的测试环境将演示AIDE是如何来检查文件的完整性的。

测试环境 1

让我们添加一个新文件（如/etc/fake）。

# cat /dev/null > /etc/fake

测试环境 2

让我们修改文件权限，然后看看它是否被检测到。

# chmod 644 /etc/aide.conf

测试环境 3

最后，让我们修改文件内容（如，添加一个注释行到/etc/aide.conf）。

echo "#This is a comment" >> /etc/aide.conf

上面的截图中，第一栏显示了文件的属性，第二栏是AIDE数据库中的值，而第三栏是更新后的值。第三栏中空白部分表示该属性没有改动（如本例中的ACL）。

结尾

如果你曾经发现你自己有很好的理由确信系统被入侵了，但是第一眼又不能确定到底哪些东西被改动了，那么像AIDE这样一个基于主机的入侵检测系统就会很有帮助了，因为它可以帮助你很快识别出哪些东西被改动过，而不是通过猜测来浪费宝贵的时间。谢谢阅读，希望能帮到大家，请继续关注，我们会努力分享更多优秀的文章。

❽ 根据检测原理,入侵检测(IDS)可分为几种其属性分别是什么

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。

IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

(8)入侵检测装置ids扩展阅读：

入侵检测系统分为四个组件:

1，事件产生器(Eventgenerators)，它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2，事件分析器(Eventanalyzers)，它经过分析得到数据，并产生分析结果。

3，响应单元(Responseunits)，它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4，事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

❾ 网络安全监测装置是IDS设备吗

❿ 简述入侵检测系统功能部件组成

1. 入侵者进入我们的系统主要有三种方式： 物理入侵 、系统入侵、远程入侵。

2. 入侵检测系统是进行入侵检测的软件与硬件的组合。

3. 入侵检测系统由三个功能部分组成，它们分别是感应器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和

基于网络的入侵检测系统。

5. 入侵检测系统根据工作方式分为在线检测系统和离线检测系统。

6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。

二、选择题

1. IDS产品相关的等级主要有(BCD)等三个等级：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS处理过程分为(ABCD )等四个阶段。

A: 数据采集阶段 B: 数据处理及过滤阶段 C: 入侵分析及检测阶段 D: 报告以及响应阶段

3. 入侵检测系统的主要功能有(ABCD )：

A: 监测并分析系统和用户的活动

B: 核查系统配置和漏洞

C: 评估系统关键资源和数据文件的完整性。

D: 识别已知和未知的攻击行为

4. IDS产品性能指标有(ABCD )：

A: 每秒数据流量

B: 每秒抓包数

C: 每秒能监控的网络连接数

D: 每秒能够处理的事件数

5. 入侵检测产品所面临的挑战主要有(ABCD )：

A: 黑客的入侵手段多样化

B: 大量的误报和漏报

C: 恶意信息采用加密的方法传输

D: 客观的评估与测试信息的缺乏

三、判断题

1. 有了入侵检测系统以后，我们可以彻底获得网络的安全。(F )

2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。( T )

3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F )

4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T )

四、简答题

1. 什么是入侵检测系统？简述入侵检测系统的作用？

答：入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合，事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。 入侵检测系统的作用主要是通过监控网络、系统的状态，来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。

2. 比较一下入侵检测系统与防火墙的作用。

答：防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道关卡。IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道关卡，是防火墙的必要补充。

3. 简述基于主机的入侵检测系统的优缺点？

答：优点：①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境

④成本低

缺点：①它在一定程度上依靠系统的可靠性，要求系统本身具有基本的安全功能，才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外，根本不检测网络上的情况

4. 简述基于网络的入侵检测系统的优缺点？

答：优点：①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击

缺点：①网络入侵检测系统只能检查它直接连接的网段的通信，不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法，只可以检测出普通的一些攻击，而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流，处理加密的会话过程比较困难。

5. 为什么要对入侵检测系统进行测试和评估？

答：①有助于更好地描述IDS的特征。②通过测试评估，可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估，确定IDS的性能级别及其对运行环境的影响。③利用测试和评估结果，可做出一些预测，推断IDS发展的趋势，估计风险，制定可实现的IDS质量目标(比如，可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果，对IDS进行改善。

6. 简述IDS的发展趋势？

答：①分布式②智能化③防火墙联动功能以及全面的安全防御方案④标准化方向