IDS入侵检测系统

IDS入侵检测系统

IDS（intrusion detection system）入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。在很多中大型企业，政府机构，都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

专业上讲IDS就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求就是：IDS应当挂接在所有所关注流量都必须流经的链路上。

IDS的接入方式：并行接入(并联)

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源，尽可能靠近受保护资源

这些位置通常是：

• • 
    
• 服务器区域的交换机上
• 边界路由器的相邻交换机上
• 重点保护网段的局域网交换机上
  • 
    

入侵检测系统的作用

• • 
    
• 防火墙的重要补充
• 构建网络安全防御体系重要环节
• 克服传统防御机制的限制
  • 
    

入侵检测系统功能

• • 
    
• 监测并分析用户和系统的活动
• 核查系统配置和漏洞
• 对操作系统进行日志管理，并识别违反安全策略的用户活动
• 针对已发现的攻击行为作出适当的反应，如告警、中止进程等
  • 
    

入侵检测系统的分类

按入侵检测形态

• • 
    
• 硬件入侵检测
• 软件入侵检测
  • 
    

按目标系统的类型

• • 
    
• 网络入侵检测
• 主机入侵检测
  • 
    

按系统结构

• • 
    
• 集中式
• 分布式
  • 
    

入侵检测系统的架构

• • 
    
• 事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。
• 事件分析器：分析数据，发现危险、异常事件，通知响应单元
• 响应单元：对分析结果作出反应
• 事件数据库：存放各种中间和最终数据
  • 
    

入侵检测工作过程 

数据检测技术

误用检测技术

• • 
    
•  建立入侵行为模型(攻击特征)
• 假设可以识别和表示所有可能的特征
• 基于系统和基于用户的误用
  • 
    

异常检测技术

• • 
    
• 设定“正常”的行为模式
• 假设所有的入侵行为是异常的
• 基于系统和基于用户的异常
  • 
    

误用检测

优点

• • 
    
• 准确率高
• 算法简单
  • 
    

关键问题

• • 
    
• 要识别所有的攻击特征，就要建立完备的特征库
• 特征库要不断更新
• 无法检测新的入侵
  • 
    

异常检测

优点

• • 
    
• 可检测未知攻击
• 自适应、自学习能力
  • 
    

关键问题

• • 
    
• “正常”行为特征的选择
• 统计算法、统计点的选择
  • 
    

IDS的部署

基于网络的IDS

基于主机的IDS

入侵检测系统的局限性 

• • 
    
• 对用户知识要求较高，配置、操作和管理使用较为复杂
• 网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要
• 高虚警率，用户处理的负担重
• 由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果
• 在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响​