摘要：入侵检测系统（IDS）是什么呢？ IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Intenet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。 在本质上，...

入侵检测系统（IDS）是什么呢？

IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Intenet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。

在本质上，入侵检测系统是一种典型的“窥探设备”。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。

目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计的分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

入侵检测系统（IDS）的安全风险怎么样呢？

安全风险的可见是指：能够看见和理解网络运作与网络上数据的本来面目。

比如：在某一时刻，流经网络的数据量有多大？某一台重要的服务器有没有遭受安全威胁？网上是否存在有攻击嫌疑的主机？等等。

重要的是，这些问题的答案应当一目了然。

另外，用户如果需要查看一周之内的安全信息或最严重的几种安全威胁的统计分析报表，系统也应当能够立即提供。

用户只有在全面掌握安全风险的基础上才能对这些风险进行有效控制，从而在安全管理过程中做出正确决策。

安全风险的可控是指： 利用安全策略、安全管理制度和安全技术手段降低安全问题产生的可能性和影响程度。

例如：管理员接到报警得知某用户多次登录失败，则可以断定该用户对公司局域网有不良企图，就可以将其加入到黑名单列表中，对于一些重要的文件或目录，管理员将该用户的权限设置为禁止写或禁止删除，如果该用户有意或无意地执行相应操作，系统将会阻止。

当然，对安全风险进行的这一系列控制都是建立在风险可见的基础上。

IDS联网数字软件如何在节目中添加滚动字幕

新建一个滚动字幕，打开字幕编辑对话框选择文字工具，打上多行文字，按住Shift全部选择，在字幕动作里选择水平居中对齐，中心水平居中，垂直等距间隔分布将滚动字幕拖到时间轨上，可以看到字幕由下而上进行滚动打开字幕编辑对话框，对滚动字幕的滚动选项进行选择，单击滚动选项出现滚动选项对话框，然后勾选开始于屏幕外和结束于屏幕外在节目窗口我们可以看到字幕出现效果新建一个游动字幕，并打开字幕编辑对话框横排打入几列文字，如图在下方出现横排的滑动杆单击游动选项按钮在游动选项对话框里选择向左游动或者向右游动勾选开始于屏幕外和结束于屏幕外，则游动选项设置好了。

什么是IDS？

何谓IDS？ 简单的说，设立IDS的唯一目的就是当场监测到网络入侵事件的发生。

IDS就是一个网络上的系统，这个系统包含了下面三个组件： （1）网络监测组件，用以捕捉在网络线上传递的封包。

（2）接口组件，用以决定监测中的资料传递是否属于恶意行为或恶意的使用。

在网络传递时，用来比较的资料样式 （patten），以监测恶意网络活动。

（3）响应组件，针对当时的事件予以适当的响应。

这个响应可以是简单的，例如寄发一个电子邮件讯息给系统管理者，或者是复杂的，例如暂时将违规者的IP地址过滤掉，不要让他连到这个网络来。

什么是入侵检测系统（IDS）呢？

入侵检测系统一般在互联网连接上探测数据包。

入侵检测系统用于检测试图偷偷进入网络和破坏一个计算机系统的安全和信任的恶意行为。

这些恶意行为包括对有安全漏洞的服务实施的网络攻击、对应用程序实施的数据驱动的攻击、升级权限、非授权登录和访问敏感文件等基于主机的攻击以及恶意软件（病毒、木马和蠕虫）。

一旦进入网络，病毒或者感染在发动恶意攻击之前能够在网络上活动几个星期。

早期的IDS系统的缺陷有哪些？

早期的IDS系统通过查找任何异常的通信发挥作用。

当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。

这个过程很少出现问题。

对于初始者来说，查找异常通信方式会产生很多错误的报告。

经过一段时间之后，管理员会对收到过多的错误警报感到厌烦，从而完全忽略IDS系统的警告。

IDS系统的另一个主要缺陷是它们仅监视主要的通信。

入侵检测系统（IDS）+防火墙+入侵防护系统（IPS）能代替杀毒软件...

不能代替的，它们各自的功能和作用是不同的。

入侵检测系统（IDS）：专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

入侵防护系统（IPS）：是指能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

防火墙：它是一种位于内部网络与外部网络之间的网络安全系统。

一种信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

一般是IDS+防火墙的组合或者IPS+防火墙的组合来完成对网络安全防护。

杀毒软件：也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。

病毒软件（程序）是一种在电脑（终端）上运行的，可以类似生物病毒发病机理的，通过一定条件下来触发运行的小程序，包括电脑病毒程序及一些恶意软件等。

以上描述可以看出他们的作用各不相同，所以不能相互代替，可以完全组合起来发现各自的作用，尽可能保障网络的信息安全。

怎么解读IDS入侵检测系统术语？

入侵检测技术07年已经取得了越来越多的应用，很多用户对IDS（入侵检测系统）具体信息并不是十分了解，但随着其快速发展，我们有必要了解IDS，为日后做好准备。

与IDS相关的新名词也日新月异，这里按字母顺序罗列了相关的术语，有的可能很普遍了，但是有的却很少见。

警报（Alets） 警报是IDS向系统操作员发出的有入侵正在发生或者正在尝试的消息。

一旦侦测到入侵，IDS会以各种方式向分析员发出警报。

如果控制台在本地，IDS警报通常会显示在监视器上。

IDS还可以通过声音报警（但在繁忙的IDS上，建议关闭声音）。

警报还可以通过厂商的通信手段发送到远程控制台，除此之外，还有利用SNMP协议（安全性有待考虑）、email、SMSPage或者这几种方式的组合进行报警。

异常（Anomaly） 大多IDS在检测到与已知攻击特征匹配的事件就会发出警报，而基于异常的IDS会用一段时间建立一个主机或者网络活动的轮廓。

在这个轮廓之外的事件会引起IDS警报，也就是说，当有人进行以前从没有过的活动，IDS就会发出警报。

比如一个用户突然获得管理员权限（或者oot权限）。

一些厂商把这种方法称为启发式IDS，但是真正的启发式IDS比这种方法有更高的智能性。

硬件IDS(Appliance ) 现在的IDS做成硬件放到机架上，而不是安装到现有的操作系统中，这样很容易就可以把IDS嵌入网络。

这样的IDS产品如CaptIO, Cisco Secue IDS, OpenSnot, Dagon and SecueNetPo。

网络入侵特征数据库（AachNIDS - Advanced Refeence Achive of Cuent Heuistics fo Netwok Intusion Detection Systems） 由白帽子住持Max Vision开发维护的AachNIDS是一个动态更新的攻击特征数据库，适用于多种基于网络的入侵检测系统。

攻击注册和信息服务（ARIS - Attack Registy & Intelligence Sevice ） ARIS是SecuityFocus推出的一项安全信息服务，允许用户向SecuityFocus匿名报告网络安全事件。

SecuityFocus整理这些数据，并和其它信息综合，形成详细的网络安全统计分析和趋势预测。

攻击（Attacks ） 攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息，更改信息或者中断目标网络或者系统的正常运行的活动。

下面是一些IDS可以检测的常见攻击的列表和解释： 拒绝服务攻击（DOS - Denial Of Sevice attack ） DOS攻击只是使系统无法向其用户提供服务，而不是通过黑客手段渗透系统。

拒绝服务攻击的方法从缓冲区溢出到通过洪流耗尽系统资源，不一而足。

随着对拒绝服务攻击的认识和防范不断加强，又出现了分布式拒绝服务攻击。

分布式拒绝服务攻击（DDOS - Distiuted Denial of Sevice ） 分布式拒绝服务攻击是一种标准的拒绝服务攻击，通过控制多台分布的远程主机向单一主机发送大量数据，并因此得名。

攻Smuf攻击（Smuf ） Smuf攻击是以最初发动这种攻击的程序名Smuf来命名。

这种攻击方法通过欺骗方法向“Smuf放大器”的网络发送广播地址的ping，放大器网络向欺骗地址——攻击目标系统返回大量的ICMP回复消息，引起目标系统的拒绝服务。

这里有每5分钟更新一次的可用的“放大器”： http:www.powetech.nosmuf （但愿你的网络不在此列…） 特洛伊木马（Tojans ） 特洛伊密码来自于古希腊著名的木马攻击特洛伊城的故事。

在计算机术语中最初指的是貌似合法但其中包含恶意软件的程序。

当合法程序执行时，恶意软件在用户毫无察觉的情况下被安装。

后来大多数的这类恶意软件都是远程控制工具，特洛伊木马也就专指这类工具，如BackOifice, SuSeven, NetBus 等。

入侵检测系统（IDS）的安全直观性有哪些呢？

安全信息的直观性主要表现在网络信息的人文化和安全信息的图表化两个方面。

1. 网络信息的人文化 传统IDS所产生的信息往往带有很强的技术特征。

例如安全事件的地址信息为IP地址（如192.168.3.9），这种信息难于理解和记忆。

网络信息的人文化是指网络信息与客户的人文信息相结合。

网络信息是指网络资源信息和网络结构信息，其表现为员工的工作站、企业的服务器、外网的IP地址或者其他网络设备信息。

人文信息主要指员工信息、部门信息和组织结构信息，服务器则用简单易记的名称代表。

这种转换机制类似于互联网的域名系统，例如新浪的IP地址是：202.101.43.242，而人们往往用www.sina.com.cn这种容易理解和记忆的名字。

金诺网安的KIDS系统就提供了这样的主机名绑定功能，将员工的主机名、用户名或服务器名与IP地址绑定。

这样一来，在控制台的监控窗口中显示的不再是难以理解的IP地址，而是主机名Linda或服务器名Mail Server。

在安全事件窗口中，与安全事件相关连的是源主机名和目标主机名，使得员工的网络行为、对服务器的访问连接和安全事件的相关者（入侵者、受攻击者）一目了然。

2. 安全信息的图表化 以图表形式生成的报表或报告主要有以下几种。

● 快照：提供当前网络情况的分析，包括网络流量、攻击情况等。

● 统计报告：一段时间内各种网络情况的统计，包括事件日志列表、危险（高风险）事件列表、攻击统计、响应统计。

● 详细报告：包括特定类型攻击明细、对某种特定服务的攻击情况、按攻击次数从多到少对事件排序、特定服务器访问情况。

● 客户定制报告：提供按客户要求定制报告功能。

金诺网安的KIDS系统提供了多种报告网络安全状况的方式和功能强大的报表分析工具，能够满足用户的各种需要。

如：流量图可以体现网络当前的流量状况，明细报表提供了按时间段或按严重程度对各类事件的报告，分析报表对报警数据库中记录的数据进行统计分析，还能以拄状图、饼图等形式反映统计结果。

Linux平台的四大IDS入侵检测工具是哪些？

如果你只有一台电脑，那么对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。

可能你并不真得希望这样，但却有此可能。

不过，在现实世界中，我们需要一些好的工具来帮助我们监视系统，并向我们发出警告，告诉我们哪里可能出现问题，因此我们可以经常地轻松一下。

入侵检测可能是一种令我们操心的问题之一。

不过，事情总有两方面，幸好Linux的管理员们拥有可供选择的强大工具。

最佳的策略是采用分层的方法，即将“老当益壮”的程序，如Snot、iptales等老前辈与psad、AppAmo、SELinuxu等一些新生力量结合起来，借助强大的分析工具，我们就可以始终站在技术的前沿。

在现代，机器上的任何用户账户都有可能被用来作恶。

笔者认为，将全部的重点都放在保护oot上，就好像其它用户账户不重要一样，这是Linux和Unix安全中一个长期存在的、慢性的弱点问题。

一次简单的重装可以替换受损的系统文件，不过数据文件怎么办？任何入侵都拥有造成大量破坏的潜力。

事实上，要散布垃圾邮件、复制敏感文件、提供虚假的音乐或电影文件、对其它系统发动攻击，根本就不需要获得对oot的访问。

IDS新宠：PSAD Psad是端口扫描攻击检测程序的简称，它作为一个新工具，可以与iptales和Snot等紧密合作，向我们展示所有试图进入网络的恶意企图。

这是笔者首选的Linux入侵检测系统。

它使用了许多snot工具，它可以与fwsnot和iptales的日志结合使用，意味着你甚至可以深入到应用层并执行一些内容分析。

它可以像Nmap一样执行数据包头部的分析，向用户发出警告，甚至可以对其进行配置以便于自动阻止可疑的IP地址。

事实上，任何入侵检测系统的一个关键方面是捕获并分析大量的数据。

如果不这样做，那只能是盲目乱来，并不能真正有效地调整IDS。

我们可以将PSAD的数据导出到AfteGlow 和 Gnuplot中，从而可以知道到底是谁正在攻击防火墙，而且是以一种很友好的界面展示。

老当益壮：Snot 正如一位可信任的老人，随着年龄的增长，Snot也愈发成熟。

它是一款轻量级且易于使用的工具，可以独立运行，也可以与psad和iptales一起使用。

我们可以从Linux的发行版本的程序库中找到并安装它，比起过去的源代码安装这应该是一个很大的进步。

至于保持其规则的更新问题，也是同样的简单，因为作为Snot的规则更新程序和管理程序，oinkmaste也在Linux发行版本的程序库中。

Snot易于管理，虽然它有一些配置上的要求。

要开始使用它，默认的配置对大多数网络系统并不适用，因为它将所有不需要的规则也包括在其中。

所以我们要做的第一件事情是清除所有不需要的规则，否则就会损害性能，并会生成一些虚假的警告。

另外一个重要的策略是要以秘密模式运行Snot，也就是说要监听一个没有IP地址的网络接口。

在没有为它分配IP地址的接口上，如ifconfig eth0 up，以-i选项来运行Snot，如snot –i eth0。

还有可能发生这样的事情：如果你的网络管理程序正运行在系统中，那它就会“有助于”展现出还没有配置的端口，因此建议还是清除网络管理程序。

Snot可以收集大量的数据，因此需要添加BASE（基本分析和安全引擎），以便于获得一个友好的可视化的分析工具，它以较老的ACID（入侵数据库分析控制台）为基础。

以上是我对于这个问题的解答，希望能够帮到大家。