IDS(Intrusion Detection Systems,入侵检测系统)

是一种对网络传输进行即时监视,在发现可疑传输时发出警报或采取主动反应措施的网络安全系统。对于各种事件进行分析并从中发现违反安全策略的行为是其核心功能;与其它网络安全设置的不同在于IDS是一种主动的安全防护技术。

IDS最早出现在1980年4月,20世纪80年代中期IDS逐渐发展成为入侵检测系统。1990年根据信息来源不同,IDS分化为基于网络的IDS与基于主机的IDS,后台出现了分布式IDS。

根据检测方法喝安全策略的差异,IDS分为异常入侵检测和误用入侵检测,前者通过建立正常行为模型来阻挡不符合该模型的行为入侵;后者则建立不可接收的行为模型,凡是符合该模型的即被定为入侵。前者漏报率低、误报率高;后者漏报率高,误报率低。从技术手段上将,IDS可分为基于标志与基于异常情况的入侵检测,基于标志的入侵检测通过选取并定义违背安全策略的事件特征判别攻击,重在维护一个特征知识库;基于异常情况的入侵检测,先定义一组正常情况数值以比对是否符合正常,进而阻挡恶意攻击。

不同于防火墙,IDS是一个监听设备,不需要跨接在任何链路上,无需网络流量经过即可工作。IDS一般部署在所有关注流量必经的链路上,也就是来自高危网络区域的访问流量和需要进行统计、监视的网络报文所经过的链路。现实中IDS在网络中的位置一般选择在尽可能靠近攻击源或者受保护资源的位置。与防火墙一样,入侵检测系统也有它的局限性:由于网络发展迅速,网络传输速率提升快,IDS工作负担过重,对攻击活动检测的可靠性降低,且由于模式识别技术的不完善,IDS的虚发警报率高也不好解决。