小白程序员必备：收藏这篇，轻松入门入侵检测系统

本文详细介绍了入侵检测的定义、技术、流程和系统分类，包括基于主机的HIDS、基于网络的NIDS和分布式DIDS。内容涵盖了信息收集、分析和事件响应等关键步骤，并深入解析了滥用检测和异常检测两种主要方法。文章还讨论了入侵检测的发展方向、局限性以及常见产品，适合小白和程序员学习网络安全基础。

一 入侵检测定义

1. 入侵：指一系列试图破坏信息资源机密性、完整性和可用性的行为。对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。

2. 入侵检测：是通过从计算机网络系统中的若干关键节点收集信息，并分析这些信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为，是对指向计算和网络资源的恶意行为的识别和响应过程。

3. 入侵检测系统（IDS）：入侵检测系统通过监视受保护系统的状态和活动，采用异常检测或滥用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段，是一个完备的网络安全体系的重要组成部分。入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。

4. 入侵检测的内容：

二 典型的IDS技术

• IDS起源与发展：审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程，通常用审计日志的形式记录。
• 审计的目标

1. 确定和保持系统活动中每个人的责任
2. 重建事件
3. 评估损失
4. 监测系统的问题区
5. 提供有效的灾难恢复
6. 阻止系统的不正当使用

• 入侵检测流程：信息收集、信息分析、结果处理

1. 信息收集

1. 信息分析

• 模式匹配：就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。
• 统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。
• 完整性分析，往往用于事后分析：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效。

1. 事件响应（结果处理）：

三 入侵检测系统分类

• 基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统

1. 基于主机的入侵检测系统（Host-based IDS，HIDS）

• 基于主机的入侵检测系统通常被安装在被保护的主机上，对该主机的网络实时连接以及系统审计日志进行分析和检查，当发现可疑行为和安全违规事件时，系统就会向管理员报警，以便采取措施。这些受保护的主机可以是Web[服务器](https://cloud.tencent.com/product/cvm?from=

  《网络安全从零到精通全套学习大礼包》

96节从入门到精通的全套视频教程免费领取

如果你也想通过学网络安全技术去帮助就业和转行，我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。

网络安全学习路线图

想要学习 网络安全，作为新手一定要先按照路线图学习，方向不对，努力白费。对于从来没有接触过网络安全的同学，我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线，大家跟着这个路线图学习准没错。

配套实战项目/源码

所有视频教程所涉及的实战项目和项目源码

学习电子书籍

学习网络安全必看的书籍和文章的PDF，市面上网络安全书籍确实太多了，这些是我精选出来的

面试真题/经验

以上资料如何领取？

---

---

文章来自网上，侵权请联系博主