在現(xiàn)在網(wǎng)絡(luò)中，攻擊無處不在，可以不夸張的說，每一秒都有企業(yè)或者個人被網(wǎng)絡(luò)攻擊。有人說了，不是有防火墻嘛？

確實，防火墻是防止有害和可疑流量流入系統(tǒng)的首選解決方案，但是防火墻并不能保證 100% 萬無一失，隨著技術(shù)的不斷更新，攻擊者的攻擊手段也在不斷進(jìn)步，他們可以很輕松繞過所有安全措施。

所以，入侵檢測顯得非常有用了，防火墻管理進(jìn)入的內(nèi)容，而入侵檢測管理流經(jīng)系統(tǒng)的內(nèi)容，一般位于防火墻后面，與防火墻協(xié)同工作。

本文將介紹一下什么是入侵檢測、入侵檢測的工作原理、入侵檢測的分類，讓我們直接開始。

什么是入侵檢測？

入侵檢測系統(tǒng) (IDS) 是一種監(jiān)控系統(tǒng)，可檢測可疑活動并在檢測到這些活動時生成警報，它是一種軟件應(yīng)用程序，用于掃描網(wǎng)絡(luò)或系統(tǒng)中的有害活動或違反政策的行為。任何惡意冒險或違規(guī)行為通常會報告給管理員或使用安全信息和事件管理 (SIEM) 系統(tǒng)集中收集。SIEM 系統(tǒng)集成了來自多個來源的輸出，并使用警報過濾技術(shù)來區(qū)分惡意活動和誤報。入侵防御系統(tǒng)還監(jiān)控入站系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包，來檢查其中涉及的惡意活動，并立即發(fā)送警告通知。

入侵檢測的分類

入侵檢測一般分為四類：

NIDS

NIDS英文全稱：network intrusion detection system，中文名稱：網(wǎng)絡(luò)入侵檢測系統(tǒng)。這是分析傳入網(wǎng)絡(luò)流量的系統(tǒng)。

HIDS

HIDS英文全稱：host intrusion detection system，中文名稱：主機(jī)入侵檢測系統(tǒng)。這是監(jiān)控重要操作系統(tǒng)文件的系統(tǒng)。

SIDS

SIDS英文全稱：signature-based intrusion detection system，中文名稱：基于簽名的入侵檢測系統(tǒng)。監(jiān)控通過網(wǎng)絡(luò)的所有數(shù)據(jù)包，并將它們與攻擊簽名或已知惡意威脅屬性的數(shù)據(jù)庫進(jìn)行比較，就像防病毒軟件一樣。

AIDS

AIDS英文全稱：anomaly-based intrusion detection system，中文名稱：基于異常的入侵檢測系統(tǒng)。基于異常的 IDS 系統(tǒng)提供了受保護(hù)系統(tǒng)“普通”行為的模型，任何不一致都會被識別為可能的危險，為了建立基線和支持安全策略，這種經(jīng)常使用機(jī)器學(xué)習(xí)。基于異常的檢測技術(shù)克服了基于特征的檢測的限制，尤其是在識別新威脅時。雖然這種策略可以檢測新的或零日威脅，但創(chuàng)建“普通”行為的準(zhǔn)確模型的挑戰(zhàn)意味著這些系統(tǒng)必須協(xié)調(diào)誤報。

總結(jié)

入侵檢測對于系統(tǒng)安全來說非常重要，本文主要講解了入侵檢測的原理和分類，希望對您有所幫助。