入侵檢測系統(tǒng)用于檢測試圖潛入網(wǎng)絡(luò)破壞某臺計算機的安全和信任的惡意行為系統(tǒng)。這些惡意行為包括對具有安全漏洞的服務(wù)的網(wǎng)絡(luò)攻擊、對應(yīng)用程序的數(shù)據(jù)驅(qū)動攻擊、基于主機的攻擊(如升級權(quán)限、未經(jīng)授權(quán)的登錄和訪問敏感文件)以及惡意軟件(病毒、木馬和蠕蟲)。一旦進(jìn)入網(wǎng)絡(luò)，病毒或感染可能會在網(wǎng)絡(luò)上活躍數(shù)周，然后發(fā)起惡意攻擊。

分為兩類:1。信息來源:基于主機的IDS和基于網(wǎng)絡(luò)的IDS。2.檢測方法一:異常入侵-1/和誤用入侵-1/。入侵檢測系統(tǒng)(簡稱入侵檢測系統(tǒng))是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)控，并在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或采取主動應(yīng)對措施的網(wǎng)絡(luò)安全設(shè)備。IDS與其他網(wǎng)絡(luò)安全設(shè)備的區(qū)別在于，IDS是一種主動的安全防護(hù)技術(shù)。

80年代中期，IDS逐漸發(fā)展成為入侵檢測expert系統(tǒng)(IDES)。1990年，IDS分為基于網(wǎng)絡(luò)的IDS和基于主機的IDS。然后分布式id出現(xiàn)了。目前IDS發(fā)展迅速，已經(jīng)有人宣稱IDS可以完全取代防火墻。擴展數(shù)據(jù):對IDS的要求:IDS應(yīng)該附加到所有相關(guān)流量必須流經(jīng)的鏈路上。這里的關(guān)注流量是指需要統(tǒng)計和監(jiān)控的來自高風(fēng)險網(wǎng)絡(luò)區(qū)域的訪問流量和網(wǎng)絡(luò)消息。

根據(jù)其采用的技術(shù)，可分為異常檢測和特征檢測。(1)異常檢測:異常檢測的假設(shè)是入侵對正常受試者的活動是異常的，建立一個正常活動的“活動剖面圖”。如果當(dāng)前主體的活動違反了其統(tǒng)計規(guī)律，則可能被認(rèn)為是“”。通過檢測系統(tǒng)(2)Features檢測:Features檢測Hypothesis入侵的行為或用法的變化，可以將活動表現(xiàn)為一種模式。

根據(jù)被監(jiān)控對象是主機還是網(wǎng)絡(luò)，基于網(wǎng)絡(luò)分為入侵-1系統(tǒng)和入侵-2/兩種。(1)Host-based入侵檢測系統(tǒng):通過監(jiān)控分析host 檢測 入侵的審計記錄。能否及時收集審計是這些系統(tǒng)的弱點之一，而入侵會以主機審計sub 系統(tǒng)為攻擊目標(biāo)來規(guī)避入侵檢測。(2)網(wǎng)基入侵檢測系統(tǒng):網(wǎng)基入侵系統(tǒng)通

指入侵defense系統(tǒng)。IPS是英文“IntrusionPreventionSystem”的縮寫，中文意思是入侵defense系統(tǒng)。IDS(入侵檢測系統(tǒng)):入侵檢測系統(tǒng)，是被動的，通過監(jiān)控網(wǎng)絡(luò)或系統(tǒng)資源尋找違反安全策略的行為或攻擊。IPS(入侵防御系統(tǒng)):入侵Defense系統(tǒng)，它是主動的，直接嵌入到網(wǎng)絡(luò)流量中，通過一個網(wǎng)絡(luò)端口接收外部流量，經(jīng)檢查確認(rèn)不含異?；顒踊蚩梢蓛?nèi)容后，再通過另一個端口系統(tǒng)，轉(zhuǎn)發(fā)到內(nèi)部。

入侵檢測顧名思義就是入侵行為的發(fā)現(xiàn)。入侵 檢測系統(tǒng)(入侵檢測系統(tǒng)，IDS)是能夠完成入侵檢測各項功能的計算機軟硬件。它收集并分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的一些關(guān)鍵點，找出網(wǎng)絡(luò)或計算機系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測Technology從計算機中的幾個節(jié)點獲取不同的信息系統(tǒng)，然后對數(shù)據(jù)進(jìn)行分析，判斷是否存在違反安全策略的行為，從而對這些行為進(jìn)行不同程度的報警。

由于攻擊可以從外網(wǎng)發(fā)起，也可以從內(nèi)部發(fā)起，還包括合法內(nèi)部人員誤操作導(dǎo)致的虛假攻擊。入侵 檢測將從以上三個方面進(jìn)行分析，如果發(fā)現(xiàn)網(wǎng)絡(luò)受到攻擊，那么該行為將被相應(yīng)地處理。入侵 檢測技術(shù)在監(jiān)控網(wǎng)絡(luò)的同時，對網(wǎng)絡(luò)性能的影響很小，入侵 檢測的技術(shù)可以簡單的理解為一個經(jīng)驗豐富的網(wǎng)絡(luò)偵查員，他的任務(wù)是對系統(tǒng)中的可疑信息進(jìn)行分析并做出相應(yīng)的處理。