入侵检测装置的主要作用

⑴ 入侵检测的目的是什么

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：
· 监视、分析用户及系统活动；
· 系统构造和弱点的审计；
· 识别反映已知进攻的活动模式并向相关人士报警；
· 异常行为模式的统计分析；
· 评估重要系统和数据文件的完整性；
· 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。
信息收集入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。
入侵检测利用的信息一般来自以下四个方面：
1.系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2.目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。
3.程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统

⑵ 网络上的入侵检测系统有什么功能

入侵检来测（Intrusion Detection）是对入侵行为源的检测。它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

⑶ 什么叫做入侵检测入侵检测系统的基本功能是什么

入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他提出了IDS的概念。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。 我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在： （1）尽可能靠近攻击源 （ 2）尽可能靠近受保护资源 这些位置通常是： ·服务器区域的交换机上 ·Internet接入路由器之后的第一台交换机上 ·重点保护网段的局域网交换机上 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。Venustech(启明星辰）、Internet Security System（ISS）、思科、赛门铁克等公司都推出了自己的产品。系统分类根据检测对象的不同，入侵检测系统可分为主机型和网络型。

⑷ 什么是入侵检测，以及入侵检测的系统结构组成

入侵检测是防火墙的合理补充。

入侵检测的系统结构组成：

1、事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、事件分析器：它经过分析得到数据，并产生分析结果。

3、响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4、事件数据库：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

(4)入侵检测装置的主要作用扩展阅读：

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵。

后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高。

误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。

这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。

⑸ 简述入侵检测系统的主要功能

对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施

⑹ 入侵检测与防火墙的作用有什么不同

其实么，一般来说，防火墙是被动的，入侵检测是主动的。一般防火墙是第一道防线，大型的网络内部都是需要入侵检测，作为内网的第二道门，检测内网用户端是否有异常活动。防火墙只保证网内和外网之间的信息合法安全，但是，当内网用户黑内网用户的时候网络防火墙无效，个人电脑防火墙自启动。然而，使用的是入侵检测系统的话就会及时汇报网络（包括内网各个主机之间，内网和外网之间）中一切异常情况。

⑺ 入侵检测起什么作用

检测有没有入侵

⑻ 简述防火墙和入侵检测系统在网络安全方面的地位和作用有什么区别

防火墙是比较早的安全概念，可以把他比作门，主要是防外。发展到现在功能也比较多，目前基本上是基于状态检测机制的防火墙，主要功能是对经过防火墙的数据包进行过滤（通过规则限制流量）。现在一般防火墙作为网络出口网关，内、外网隔离，通过NAT、VPN等技术接入互联网。
入侵检测系统（IDS）更侧重于监控，防火墙是门，IDS就是门内的摄像头。IDS不但监控门外进来的，还会监控门里面的。

⑼ 入侵检测系统的基本功能是什么

入侵检测系统的基本功能是对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

与其他网络安全设备的不同之处便在于，入侵检测系统是一种积极主动的安全防护技术。在很多中大型企业，政府机构，都会布有入侵检测系统。假如防火墙是一幢大厦的门锁，那么入侵检测系统就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

专业上讲入侵检测系统就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是，入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对入侵检测系统的部署的唯一要求就是：入侵检测系统应当挂接在所有所关注流量都必须流经的链路上。

(9)入侵检测装置的主要作用扩展阅读

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志，另一种基于异常情况。

对于基于标志的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。

而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

⑽ 入侵检测系统的主要功能是什么

刚回答过同样的问题，不知道是不是你提问的。
IDS的功能就是监测各种入侵行为，比如ddos等。