數據安全專欄|網絡安全設備-IDS-行業動态-廈門信息集團大數據運營有限公司

數據安全專欄|網絡安全設備-IDS

2023-06-26

來(lái)源：

IDS即入侵檢測系統，是與IPS（參見“數據合肥”公衆号5月23日數據安全專欄）相輔相成的檢測系統，Intrusion Detection Systems的縮寫。

一、什(shén)麽是IDS

與其他(tā)網絡安全設備相比，IDS的獨特之處在于其積極主動的安全防護技術。按照入侵檢測手段，IDS分爲基于網絡的和(hé)基于主機的兩種模型。

基于主機的模型，可以理(lǐ)解爲分析系統的相關數據來(lái)發現(xiàn)可疑活動，如内存、CPU，鏈接數等的變化。此種模型性價比較高(gāo)，可以有效發現(xiàn)系統中不尋常的活動，如内存忽然被打滿，分析相關日志文(wén)件，查找異常情況的原因并提示啓動響應措施。

基于網絡的模型，主要用(yòng)于實時(shí)監聽網絡上(shàng)關鍵路徑信息，采集數據加以分析，具有檢測速度快(kuài)（毫秒級發現(xiàn)問題），隐蔽性好(hǎo)（不易遭受攻擊）、視(shì)野更寬（攻擊者還未入網就能(néng)被制止）等特點。

二、IDS的工(gōng)作(zuò)原理(lǐ)

IDS一般采用(yòng)旁路部署方式，直接通過交換機的監聽口進行流量采樣，或者在需關注的線路上(shàng)放(fàng)置監聽設備（如分光器、集線器）即可。

IDS監測系統在網絡中的位置

IDS在捕捉到(dào)某起異常訪問（匹配耦合度較高(gāo)的流量）後，按策略對(duì)此次訪問進行檢查，如果策略對(duì)該類訪問事(shì)件設置了(le)防火牆阻斷，那麽IDS就會(huì)給防火牆發送一個相應的動态阻斷策略，該策略包括相應的阻斷時(shí)間、阻斷間隔、源端口、目的端口、源IP等信息，防火牆會(huì)依照此動态策略來(lái)執行相應的防禦手段。

三、爲什(shén)麽要IDS

IDS是網絡安全防護的重要組成部分。以下(xià)是訊飛(fēi)星火和(hé)文(wén)心一言對(duì)IDS重要性的回複，大(dà)家可以對(duì)比學習一下(xià)：

TIPS：IPS、IDS與防火牆

很(hěn)多同學對(duì)IPS、IDS和(hé)防火牆的幾個概念比較模糊，事(shì)實上(shàng)他(tā)們在網絡防護中均起到(dào)防禦與檢測的目的。打個比喻，如果我們把局部網絡系統比作(zuò)一棟大(dà)樓，那麽防火牆就是這(zhè)棟樓的門(mén)鎖，有效隔離不法分子于樓外(wài)；IDS就是這(zhè)棟樓裏的監控系統，對(duì)盜竊行爲、内部員工(gōng)的不法操作(zuò)，起到(dào)監控和(hé)警報(bào)作(zuò)用(yòng)；IPS是這(zhè)棟樓的安保人員，主動巡視(shì)，發現(xiàn)問題并采取措施。三者相輔相成，互爲補充，形成完整防禦閉環。

上(shàng)一篇：數據安全專欄|一種簡便的業務系統分級方法

數據安全專欄 | 網閘與防火牆之間的“小(xiǎo)同大(dà)異”下(xià)一篇：