入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，入侵檢測系統(tǒng)是一種積極主動的安全防護技術(shù)。

入侵檢測系統(tǒng)(IDS)檢查所有進入和發(fā)出的網(wǎng)絡(luò)活動，并可確認某種可疑模式，IDS利用這種模式能夠指明來自試圖進入(或破壞系統(tǒng))的某人的網(wǎng)絡(luò)攻擊(或系統(tǒng)攻擊)。入侵檢測系統(tǒng)與防火墻不同，主要在于防火墻關(guān)注入侵是為了阻止其發(fā)生。防火墻限制網(wǎng)絡(luò)之間的訪問，目的在于防止入侵，但并不對來自網(wǎng)絡(luò)內(nèi)部的攻擊發(fā)出警報信號。而IDS卻可以在入侵發(fā)生時，評估可疑的入侵并發(fā)出警告。而且IDS還可以觀察源自系統(tǒng)內(nèi)部的攻擊。從這個意義上來講，IDS可能安全工作做得更全面。今天我們就看看下面這五個最著名的入侵檢測系統(tǒng)。

1.Snort：這是一個幾乎人人都喜愛的開源IDS，它采用靈活的基于規(guī)則的語言來描述通信，將簽名、協(xié)議和不正常行為的檢測方法結(jié)合起來。其更新速度極快，成為全球部署最為廣泛的入侵檢測技術(shù)，并成為防御技術(shù)的標準。通過協(xié)議分析、內(nèi)容查找和各種各樣的預(yù)處理程序，Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、端口掃描和各種可疑行為。在這里要注意，用戶需要檢查免費的BASE來分析Snort的警告。如圖：

2.OSSEC HIDS：這一個基于主機的開源入侵檢測系統(tǒng)，它可以執(zhí)行日志分析、完整性檢查、Windows注冊表監(jiān)視、rootkit檢測、實時警告以及動態(tài)的適時響應(yīng)。除了其IDS的功能之外，它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日志分析引擎，互聯(lián)網(wǎng)供應(yīng)商、大學(xué)和數(shù)據(jù)中心都樂意運行OSSEC HIDS，以監(jiān)視和分析其防火墻、IDS、Web服務(wù)器和身份驗證日志。如圖展示的是Windows平臺的OSSEC：

3.Fragroute/Fragrouter：是一個能夠逃避網(wǎng)絡(luò)入侵檢測的工具箱，這是一個自分段的路由程序，它能夠截獲、修改并重寫發(fā)往一臺特定主機的通信，可以實施多種攻擊，如插入、逃避、拒絕服務(wù)攻擊等。它擁有一套簡單的規(guī)則集，可以對發(fā)往某一臺特定主機的數(shù)據(jù)包延遲發(fā)送，或復(fù)制、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴格來講，這個工具是用于協(xié)助測試網(wǎng)絡(luò)入侵檢測系統(tǒng)的，也可以協(xié)助測試防火墻，基本的TCP/IP堆棧行為?？刹灰獮E用這個軟件呵。

4.BASE：又稱基本的分析和安全引擎，BASE是一個基于PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火墻、網(wǎng)絡(luò)監(jiān)視工具所生成的安全事件數(shù)據(jù)。其特性包括一個查詢生成器并查找接口，這種接口能夠發(fā)現(xiàn)不同匹配模式的警告,還包括一個數(shù)據(jù)包查看器/解碼器，基于時間、簽名、協(xié)議、IP地址的統(tǒng)計圖表等。

5.Sguil：這是一款被稱為網(wǎng)絡(luò)安全專家監(jiān)視網(wǎng)絡(luò)活動的控制臺工具，它可以用于網(wǎng)絡(luò)安全分析。其主要部件是一個直觀的GUI界面，可以從Snort/barnyard提供實時的事件活動。還可借助于其它的部件，實現(xiàn)網(wǎng)絡(luò)安全監(jiān)視活動和IDS警告的事件驅(qū)動分析。如圖：

通過以上內(nèi)容的介紹，相信大家對入侵檢測系統(tǒng)已經(jīng)有了一個大概的認識，科學(xué)技術(shù)還在不斷地進步，入侵檢測系統(tǒng)也會隨之不斷變革的。

【編輯推薦】

1. 黑客揭秘：數(shù)據(jù)如何不翼而飛
2. 2010年揚名的十大WEB黑客技術(shù)
3. 黑客入侵政府網(wǎng)背后存在利益鏈條
4. 央視曝光黑客利益鏈：注冊黑客網(wǎng)站備案作假