網(wǎng)絡(luò)入侵檢測系統(tǒng)的特點是什么?與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護技術(shù)。 IDS最早出現(xiàn)在1980年4月。1980年代中期，IDS逐漸發(fā)展成為入侵檢測專家系統(tǒng)(IDES)。常見電腦黑客攻擊類型與預防方法是什么?一起和佰佰安全網(wǎng)看看吧。

IDS是計算機的監(jiān)視系統(tǒng)，它通過實時監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。以信息來源的不同和檢測方法的差異分為幾類：根據(jù)信息來源可分為基于主機IDS和基于網(wǎng)絡(luò)的IDS，根據(jù)檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓撲中，已經(jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是：服務器區(qū)域的交換機上;Internet接入路由器之后的第一臺交換機上;重點保護網(wǎng)段的局域網(wǎng)交換機上。由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來。Venustech(啟明星辰)、Internet Security System(ISS)、思科、賽門鐵克等公司都推出了自己的產(chǎn)品。

對于基于標志的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。

而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗和等(這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出)，然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。

兩種檢測技術(shù)的方法、所得出的結(jié)論有非常大的差異?；跇酥镜臋z測技術(shù)的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新?；诋惓５臋z測技術(shù)則無法準確判別出攻擊的手法，但它可以(至少在理論上可以)判別更廣范、甚至未發(fā)覺的攻擊。

以上是小編整理的入侵檢測系統(tǒng)的特點，學習更多的網(wǎng)絡(luò)安全小知識請關(guān)注佰佰安全網(wǎng)。

責任編輯:慕丹萍