常见网络安全设备：IDS（入侵检测系统）

定义

入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。

入侵检测系统通常包含3个必要的功能组件：信息来源、分析引擎和响应组件。

工作原理

1、信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自：系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。

2、信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。

前两种用于实时入侵检测，完整性分析用于事后分析。

3、告警与响应

根据入侵性质和类型，做出相应的告警与响应。

主要功能

它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。

1. 实时监测：实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；
2. 安全审计：对系统记录的网络事件进行统计分析，发现异常现象，得出系统的安全状态，找出所需要的证据
3. 主动响应：主动切断连接或与防火墙联动，调用其他程序处理。

主要类型

1. 基于主机的入侵检测系统(HIDS)：基于主机的入侵检测系统是早期的入侵检测系统结构，通常是软件型的，直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。

这种检测方式的优点主要有：

• 信息更详细
• 误报率要低
• 部署灵活。

这种方式的缺点主要有：

• 会降低应用系统的性能；
• 依赖于服务器原有的日志与监视能力；
• 代价较大；
• 不能对网络进行监测；
• 需安装多个针对不同系统的检测系统。

1. 基于网络的入侵检测系统(NIDS)：基于网络的入侵检测方式是目前一种比较主流的监测方式，这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内，不停地监视网段中的各种数据包，而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析，如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报，甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。

这种检测技术的优点主要有：

• 能够检测那些来自网络的攻击和超过授权的非法访问
• 不需要改变服务器等主机的配置，也不会影响主机性能；
• 风险低；
• 配置简单。

其缺点主要是：

• 成本高、检测范围受局限；
• 大量计算，影响系统性能；
• 大量分析数据流，影响系统性能；
• 对加密的会话过程处理较难；
• 网络流速高时可能会丢失许多封包，容易让入侵者有机可乘；
• 无法检测加密的封包；对于直接对主机的入侵无法检测出。

主动被动

入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。绝大多数 IDS 系统都是被动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。

使用方式

作为防火墙后的第二道防线，适于以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

局限性

1. 误报率高：主要表现为把良性流量误认为恶性流量进行误报。还有些IDS产品会对用户不关心事件的进行误报。
2. 产品适应能力差：传统的IDS产品在开发时没有考虑特定网络环境下的需求，适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整，以适应不同环境的需求。
3. 大型网络管理能力差：首先，要确保新的产品体系结构能够支持数以百计的IDS传感器；其次，要能够处理传感器产生的告警事件；最后还要解决攻击特征库的建立，配置以及更新问题。
4. 缺少防御功能：大多数IDS产品缺乏主动防御功能。
5. 处理性能差：目前的百兆、千兆IDS产品性能指标与实际要求还存在很大的差距。