IDS

入侵檢測系統

IDS(入侵檢測系統)

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。

1、1980年，James P. Anderson的《計算機安全威脅監控與監視》(《Computer Security Threat Monitoring and Surveillance》) 第一次詳細闡述了入侵檢測的概念;提出計算機系統威脅分類;提出了利用審計跟蹤數據監視入侵活動的思想;此報告被公認為是入侵檢測的開山之作。 2、1984年到1986年，喬治敦大學的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統模型--IDES(入侵檢測專家系統) 3、1990年，加州大學戴維斯分校的L. T. Heberlein等人開發出了NSM(Network Security Monitor) 該系統第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機 入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基于網絡的IDS和基于主機的`IDS 4、1988年之后，美國開展對分布式入侵檢測系統(DIDS)的研究，將基于主機和基于網絡的檢測方法集成到一起。DIDS是分布式入侵檢測系統歷史上的一個里程碑式的產品。 5、從20世紀90年代到現在，入侵檢測系統的研發呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。

入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。 實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。而事后入侵檢測則是由具有網絡安全專業知識的網絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統。

IDS系統組件之間需要通信，不同的廠商的IDS系統之間也需要通信。因此，定義統一的協議，使各部分能夠根據協議所制訂的標準進行溝通是很有必要的。IETF 目前有一個專門的小組 IDWG（IntrusionDetection WorkingGroup）負責定義這種通信格式，稱作Intrusion Detection ExchangeFormat。目前只有相關的草案，并未形成正式的RFC文檔。盡管如此，草案為IDS各部分之間甚至不同IDS系統之間的通信提供層協議，其設計多其他功能（如可從任意端發起連接，結合了加密、身份驗證等）。

（CIDF）闡述了一個入侵檢測系統（I DS）的通用模型。它將一個入侵檢測系統分為以下組件： 事件產生器（Event generators） 事件分析器（Event analyzers） 響應單元（Response units ） 事件數據庫（Event databases ） CIDF將IDS需要分析的數據統稱為事件（event），它可以是網絡中的數據包，也可以是從系統日志等其他途徑得到的信息。

信息公開聲明文件

IDS(信息公開聲明文件)

【IDS】相關文章：

安防及入侵檢測·什么是IDS入侵檢測04-26

安防及入侵檢測·什么是IDS與防火墻對比04-26