数据安全专栏|网络安全设备-IDS-行业动态-合肥市大数据资产运营有限公司

数据安全专栏|网络安全设备-IDS

2023-06-26

来源：

打印

字号：[大中小]

IDS即入侵检测系统，是与IPS（参见“数据合肥”公众号5月23日数据安全专栏）相辅相成的检测系统，Intrusion Detection Systems的缩写。

一、什么是IDS

与其他网络安全设备相比，IDS的独特之处在于其积极主动的安全防护技术。按照入侵检测手段，IDS分为基于网络的和基于主机的两种模型。

基于主机的模型，可以理解为分析系统的相关数据来发现可疑活动，如内存、CPU，链接数等的变化。此种模型性价比较高，可以有效发现系统中不寻常的活动，如内存忽然被打满，分析相关日志文件，查找异常情况的原因并提示启动响应措施。

基于网络的模型，主要用于实时监听网络上关键路径信息，采集数据加以分析，具有检测速度快（毫秒级发现问题），隐蔽性好（不易遭受攻击）、视野更宽（攻击者还未入网就能被制止）等特点。

二、IDS的工作原理

IDS一般采用旁路部署方式，直接通过交换机的监听口进行流量采样，或者在需关注的线路上放置监听设备（如分光器、集线器）即可。

IDS监测系统在网络中的位置

IDS在捕捉到某起异常访问（匹配耦合度较高的流量）后，按策略对此次访问进行检查，如果策略对该类访问事件设置了防火墙阻断，那么IDS就会给防火墙发送一个相应的动态阻断策略，该策略包括相应的阻断时间、阻断间隔、源端口、目的端口、源IP等信息，防火墙会依照此动态策略来执行相应的防御手段。

三、为什么要IDS

IDS是网络安全防护的重要组成部分。以下是讯飞星火和文心一言对IDS重要性的回复，大家可以对比学习一下：

TIPS：IPS、IDS与防火墙

很多同学对IPS、IDS和防火墙的几个概念比较模糊，事实上他们在网络防护中均起到防御与检测的目的。打个比喻，如果我们把局部网络系统比作一栋大楼，那么防火墙就是这栋楼的门锁，有效隔离不法分子于楼外；IDS就是这栋楼里的监控系统，对盗窃行为、内部员工的不法操作，起到监控和警报作用；IPS是这栋楼的安保人员，主动巡视，发现问题并采取措施。三者相辅相成，互为补充，形成完整防御闭环。

上一篇：数据安全专栏|一种简便的业务系统分级方法

数据安全专栏 | 网闸与防火墙之间的“小同大异”下一篇：