在現(xiàn)在網(wǎng)絡(luò)中，攻擊無處不在，可以不夸張的說，每一秒都有企業(yè)或者個(gè)人被網(wǎng)絡(luò)攻擊。有人說了，不是有防火墻嘛？

確實(shí)，防火墻是防止有害和可疑流量流入系統(tǒng)的首選解決方案，但是防火墻并不能保證 100% 萬無一失，隨著技術(shù)的不斷更新，攻擊者的攻擊手段也在不斷進(jìn)步，他們可以很輕松繞過所有安全措施。

所以，入侵檢測(cè)顯得非常有用了，防火墻管理進(jìn)入的內(nèi)容，而入侵檢測(cè)管理流經(jīng)系統(tǒng)的內(nèi)容，一般位于防火墻后面，與防火墻協(xié)同工作。

本文將介紹一下什么是入侵檢測(cè)、入侵檢測(cè)的工作原理、入侵檢測(cè)的分類，讓我們直接開始。

什么是入侵檢測(cè)？

入侵檢測(cè)系統(tǒng) (IDS) 是一種監(jiān)控系統(tǒng)，可檢測(cè)可疑活動(dòng)并在檢測(cè)到這些活動(dòng)時(shí)生成警報(bào)，它是一種軟件應(yīng)用程序，用于掃描網(wǎng)絡(luò)或系統(tǒng)中的有害活動(dòng)或違反政策的行為。任何惡意冒險(xiǎn)或違規(guī)行為通常會(huì)報(bào)告給管理員或使用安全信息和事件管理 (SIEM) 系統(tǒng)集中收集。SIEM 系統(tǒng)集成了來自多個(gè)來源的輸出，并使用警報(bào)過濾技術(shù)來區(qū)分惡意活動(dòng)和誤報(bào)。入侵防御系統(tǒng)還監(jiān)控入站系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包，來檢查其中涉及的惡意活動(dòng)，并立即發(fā)送警告通知。

入侵檢測(cè)的分類

入侵檢測(cè)一般分為四類：

NIDS

NIDS英文全稱：network intrusion detection system，中文名稱：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。這是分析傳入網(wǎng)絡(luò)流量的系統(tǒng)。

HIDS

HIDS英文全稱：host intrusion detection system，中文名稱：主機(jī)入侵檢測(cè)系統(tǒng)。這是監(jiān)控重要操作系統(tǒng)文件的系統(tǒng)。

SIDS

SIDS英文全稱：signature-based intrusion detection system，中文名稱：基于簽名的入侵檢測(cè)系統(tǒng)。監(jiān)控通過網(wǎng)絡(luò)的所有數(shù)據(jù)包，并將它們與攻擊簽名或已知惡意威脅屬性的數(shù)據(jù)庫進(jìn)行比較，就像防病毒軟件一樣。

AIDS

AIDS英文全稱：anomaly-based intrusion detection system，中文名稱：基于異常的入侵檢測(cè)系統(tǒng)?；诋惓５?IDS 系統(tǒng)提供了受保護(hù)系統(tǒng)“普通”行為的模型，任何不一致都會(huì)被識(shí)別為可能的危險(xiǎn)，為了建立基線和支持安全策略，這種經(jīng)常使用機(jī)器學(xué)習(xí)。基于異常的檢測(cè)技術(shù)克服了基于特征的檢測(cè)的限制，尤其是在識(shí)別新威脅時(shí)。雖然這種策略可以檢測(cè)新的或零日威脅，但創(chuàng)建“普通”行為的準(zhǔn)確模型的挑戰(zhàn)意味著這些系統(tǒng)必須協(xié)調(diào)誤報(bào)。

總結(jié)

入侵檢測(cè)對(duì)于系統(tǒng)安全來說非常重要，本文主要講解了入侵檢測(cè)的原理和分類，希望對(duì)您有所幫助。