日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

什么是IDS

IDS是英文"Intrusion Detection Systems"的縮寫，中文意思是"入侵檢測系統"。

在本質上，入侵檢測系統是一個典型的"窺探設備"。它不跨接多個物理網段（通常只有一個監聽端口），無須轉發任何流量，而只需要在網絡上被動的、無聲息的收集它所關心的報文即可。對收集來的報文，入侵檢測系統提取相應的流量統計特征值，并利用內置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據預設的閥值，匹配耦合度較高的報文流量將被認為是進攻，入侵檢測系統將根據相應的配置進行報警或進行有限度的反擊。

IDS模型

按入侵檢測的手段，IDS的入侵檢測模型可分為基于網絡和基于主機兩種。

1基于主機模型

也稱基于系統的模型，它是通過分析系統的審計數據來發現可疑的活動，如內存和文件的變化等。其輸入數據主要來源于系統的審計日志，一般只能檢測該主機上發生的入侵。這種模型有以下優點：

①性能價格比高：在主機數量較少的情況下，這種方法的性能價格比更高；

②更加細致：可以很容易地監測一些活動，如敏感文件、目錄、程序或端口的存取，而這些活動很難基于協議的線索發現；

③視野集中：一旦入侵者得到了一個主機用戶名和口令，基于主機的代理是最有可能區分正常活動和非法活動的；

④易于用戶剪裁：每一個主機有自己的代理，當然用戶剪裁更加方便；

⑤較少的主機：基于主機的方法有時不需要增加專門的硬件平臺；

⑥對網絡流量不敏感：用代理的方式一般不會因為網絡流量的增加而丟掉對網絡行為的監視。

2基于網絡模型

即通過連接在網絡上的站點捕獲網上的包，并分析其是否具有已知的攻擊模式，以此來判別是否為入侵者。當該模型發現某些可疑的現象時，也一樣會產生告警，并會向一個中心管理站點發出告警信號。這種模型有以下優點：

①偵測速度快：基于網絡的監測器，通常能在微秒或秒級發現問題。而大多數基于主機的產品則要依靠最近幾分鐘內審計記錄的分析；

②隱蔽性好：一個網絡上的監測器不像主機那樣顯眼和易被存取，因而也不那么容易遭受攻擊；

③視野更寬：基于網絡的方法甚至可以作用在網絡邊緣上，即攻擊者還沒能接入網絡時就被制止；

④較少的監測器：由于使用一個監測器可以保護一個共享的網段，所以不需要很多的監測器；

⑤占資源少：在被保護的設備上不占用任何資源，這點較主機模型最為突出。

IDS分類

根據模型和部署方式的不同，IDS分為基于主機的IDS、基于網絡的IDS，以及由兩者取長補短發展而來的新一代分布式IDS。

1基于主機的IDS

輸入數據來源于系統的審計日志，即在每個要保護的主機上運行一個代理程序，一般只能檢測該主機上發生的入侵。它在重要的系統服務器、工作站或用戶機器上運行，監視操作系統或系統事件級別的可疑活動（如嘗試登錄失?。?。此類系統需要定義清楚哪些是不合法的活動，然后把這種安全策略轉換成入侵檢測規則。

2基于網絡的IDS

基于網絡的IDS的輸入數據來源于網絡的信息流，該類系統一般被動地在網絡上監聽整個網段上的信息流，通過捕獲網絡數據包，進行分析，能夠檢測該網絡段上發生的網絡入侵。

3分布式IDS

一般由多個部件組成，分布在網絡的各個部分，完成相應功能，分別進行數據采集、數據分析等。通過中心的控制部件進行數據匯總、分析、產生入侵警報等。在這種結構下，不僅可以檢測到針對單獨主機的入侵，同時也可以檢測到針對整網絡上的主機的入侵。

IDS作用

1.監控、分析用戶及系統活動。

2.對系統構造和弱點的審計。

3.識別反映已知進攻的活動模式并報警。

4.異常行為模式的統計分析。

5.評估重要系統和數據文件的完整性。

6.對操作系統的審計追蹤管理，并識別用戶違反安全策略的行為。