1 概念

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

2 发展历程

IDS最早出现在1980年4月。

1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。

1990年，IDS分化为基于网络的IDS和基于主机的IDS。

后又出现分布式IDS。

IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

3 简介

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。

以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。

4 分类

NIDS

NIDS英文全称：network intrusion detection system，中文名称：网络入侵检测系统。这是分析传入网络流量的系统。

HIDS

HIDS英文全称：host intrusion detection system，中文名称：主机入侵检测系统。这是监控重要操作系统文件的系统。

SIDS

SIDS英文全称：signature-based intrusion detection system，中文名称：基于签名的入侵检测系统。监控通过网络的所有数据包，并将它们与攻击签名或已知恶意威胁属性的数据库进行比较，就像防病毒软件一样。

AIDS

AIDS英文全称：anomaly-based intrusion detection system，中文名称：基于异常的入侵检测系统。基于异常的 IDS 系统提供了受保护系统“普通”行为的模型，任何不一致都会被识别为可能的危险，为了建立基线和支持安全策略，这种经常使用机器学习。基于异常的检测技术克服了基于特征的检测的限制，尤其是在识别新威胁时。虽然这种策略可以检测新的或零日威胁，但创建“普通”行为的准确模型的挑战意味着这些系统必须协调误报。

5 工业产品一般具备的能力

入侵检测技术对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计，可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行检测。通过对内外部用户的网络行为进行解析、记录、汇报，实现事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

功能：日志报表、流量检测、应用深度识别、自定义应用

日志报表：日志报表丰富，易管理：提供多视角、丰富易用的报表，便于用户从多维视角进行管理。
流量检测：对流量中恶意病毒、入侵行为检测分。
应用深度识别：系统把对报文的协议解析、深度内容检测以及关联分析结合起来，通过对大量实际环境中的流量的分析，总结出每种应用的流量模型，把对数据包的协议解析、深度内容检测和关系分析的结果综合起来，由决策引擎通过与流量模拟的匹配程度，智能的判定应用类型。
自定义应用：系统具备自定义应用功能，管理员可根据协议、目标端口、1P、域名等维度创建应用特征，进而针对企业应用进行审计、流量统计和控制。

基于协议状态分析：系统对已知协议和RFC规范进行了深度理解，有效提高应用识别的性能，同时降低误识别率。
行为检测：不同的应用类型体现在会话连接或数据流上的状态各有不同，雪这一系列流行为特征，通过分析会话连接流的包长、连接速举等息来识别应用类型。
应用审计：网络安全审计系统基于应用识别的基础可以实现应用中相关内容的审计，记录。