21世紀是一個互聯(lián)網(wǎng)信息爆發(fā)的時代，當越來越多的公司將其核心業(yè)務向互聯(lián)網(wǎng)轉移的時候，網(wǎng)絡安全作為一個無法回避的問題擺在人們面前。公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者技能的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要，網(wǎng)絡的防衛(wèi)必須采用一種縱深的、多樣的手段。

與此同時，目前的網(wǎng)絡環(huán)境也變得越來越復雜，各式各樣的復雜的設備，需要不斷升級、補漏的系統(tǒng)使得網(wǎng)絡管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成重大的安全隱患。在這種情況下，入侵檢測系統(tǒng)IDS（Intrusion Detection System）就成了構建網(wǎng)絡安全體系中不可或缺的組成部分。 　　

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。 　　
做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

入侵檢測的原理

入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。 　　
實時入侵檢測在網(wǎng)絡連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復。這個檢測過程是不斷循環(huán)進行的。而事后入侵檢測則是由具有網(wǎng)絡安全專業(yè)知識的網(wǎng)絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。

入侵檢測的通信協(xié)議

IDS系統(tǒng)組件之間需要通信，不同的廠商的IDS系統(tǒng)之間也需要通信。因此，定義統(tǒng)一的協(xié)議，使各部分能夠根據(jù)協(xié)議所制訂的標準進行溝通是很有必要的。IETF 目前有一個專門的小組 IDWG（IntrusionDetection WorkingGroup）負責定義這種通信格式，稱作Intrusion Detection ExchangeFormat。目前只有相關的草案，并未形成正式的RFC文檔。盡管如此，草案為IDS各部分之間甚至不同IDS系統(tǒng)之間的通信提供層協(xié)議，其設計多其他功能（如可從任意端發(fā)起連接，結合了加密、身份驗證等）。

IDS的作用

做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。 　　

不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設備，沒有跨接在任何鏈路上，無須網(wǎng)絡流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經(jīng)的鏈路上。在這里，"所關注流量"指的是來自高危網(wǎng)絡區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網(wǎng)絡報文。在如今的網(wǎng)絡拓撲中，已經(jīng)很難找到以前的HUB式的共享介質沖突域的網(wǎng)絡，絕大部分的網(wǎng)絡區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡結構。因此，IDS在交換式網(wǎng)絡中的位置一般選擇在： 　　

（1）盡可能靠近攻擊源 　　

（2）盡可能靠近受保護資源 　　

這些位置通常是：

•服務器區(qū)域的交換機上

•Internet接入路由器之后的第一臺交換機上

•重點保護網(wǎng)段的局域網(wǎng)交換機上防火墻和IDS可以分開操作，IDS是個監(jiān)控系統(tǒng)，可以自行選擇合適的，或是符合需求的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設置及規(guī)則，或是重新設置；在實際的使用中，大多數(shù)的入侵檢測的接入方式都是采用pass-by方式來偵聽網(wǎng)絡上的數(shù)據(jù)流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數(shù)據(jù)包來阻斷當前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對于一些建立在UDP基礎之上就無能為力了。因為防火墻的策略都是事先設置好的，無法動態(tài)設置策略，缺少針對攻擊的必要的靈活性，不能更好的保護網(wǎng)絡的安全，所以IDS與防火墻聯(lián)動的目的就是更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡隱患降至較低限度。

【編輯推薦】

1. 網(wǎng)絡安全的未來：協(xié)同入侵檢測系統(tǒng)（CIDS）
2. 智能分析系統(tǒng)讓IDS入侵檢測系統(tǒng)浴火重生
3. 智能分析讓你的IDS變聰明
4. 從檢測到預防 解析IDS演化與革命
5. 簡介Linux中的IDS入侵檢測工具