IDS入侵检测系统介绍

防火墙试图在入侵行为发生之前阻止所有可疑的通信，但事实是不可能阻止所有的入侵行为，有必要采取措施在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。入侵检测系统IDS(Intrusion Detection System)正是这样一种技术。IDS对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出靠警或执行阻断操作，IDS能用于检测多种网络攻击，包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。

入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。

基于特征的IDS维护一个所有已知攻击标志性特征的数据库，每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段或数据中特定比特串，或者与一系列分组有关，当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为，这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将其加入到数据库中。基于特征的IDS只能检测已知攻击，对于未知攻击则束手无策，基于异常的IDS通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为，例如，当攻击者在对内网主机进行ping搜索时，或导致ICMPping报文突然大量增加，与正常的统计规律有明显不同，但区分正常流和统计异常流是一个非常困难的事情。至今为止，大多数部署的IDS主要是基于特片的，尽管某些IDS包括了某些基于异常的特性。

不论采用什么检测技术都存在“漏报”和“误报”情况，如果“漏报”率比较高，则只能检测到少量的入侵，给人以安全的假象，对于特定IDS，可以通过调整某些阈值来降低“漏报”率，但同时会增大“误报”率。“误报”率太大会导致大量虚假警报，网络管理员需要花费大量时间分析报警信息，甚至会因为虚假警报太多而对报警“视而不见”使IDS形同虚设。