基本入侵检测系统

看看这句话作者：格蕾丝·霍珀海军上将

“二战前的生活更简单。之后我们有了系统”

那么，这究竟意味着什么？随着系统（计算机系统）的发明，对网络的各种需求增加了，随着网络的出现，数据共享的想法也出现了。在全球化时代的今天，随着信息技术的发展以及黑客工具的便捷访问和开发，对重要数据的安全性提出了需求。防火墙可能会提供这一点，但它们从不警告管理员任何攻击。这就是需要一个不同的系统——一种检测系统。

入侵检测系统是上述问题的必要解决方案。它类似于您家中或任何组织中的防盗警报系统，它可以检测到任何不需要的干预并提醒系统管理员。

这是一种软件，旨在在有人试图使用恶意活动破坏系统时自动提醒管理员。

在了解入侵检测系统之前，让我们简单回顾一下防火墙。

防火墙是软件程序或硬件设备，可用于防止对系统或网络的任何恶意攻击。它们基本上充当过滤器，阻止任何可能对系统或网络造成威胁的信息。他们可以监控传入数据包的少量内容，也可以监控整个数据包。

入侵检测系统分类：

基于 IDS 保护的系统类型：

• 网络入侵检测系统 ：该系统通过持续分析流量并将其与库中的已知攻击进行比较来监控单个网络或子网的流量。如果检测到攻击，则会向系统管理员发送警报。它主要放置在网络中的重要位置，以便它可以密切关注进出网络上不同设备的流量。 IDS 沿网络边界放置或放置在网络和服务器之间。该系统的一个优点是可以轻松且低成本地部署它，而无需为每个系统加载。

• 主机入侵检测系统 ：这种系统适用于与系统的网络连接（即数据包的传入和传出）的单个系统，并且还完成了系统文件的审核，如果出现任何差异，系统管理员会收到相同的警报。该系统监视计算机的操作系统。 IDS 安装在计算机上。该系统的优点是可以准确监控整个系统，不需要安装任何其他硬件。

基于工作方法：

• 基于签名的入侵检测系统 ：这个系统的工作原理是匹配。分析数据并与已知攻击的签名进行比较。如果有任何匹配，则会发出警报。该系统的一个优点是它具有更高的准确性和用户理解的标准警报。

• 基于异常的入侵检测系统 ：它由正常网络流量的统计模型组成，该模型包括使用的带宽、为流量定义的协议、端口和作为网络一部分的设备。它会定期监控网络流量并将其与统计模型进行比较。如果出现任何异常或差异，管理员会收到警报。该系统的一个优势是它可以检测新的独特攻击。

基于它们的功能：

• 被动入侵检测系统 ：它只是检测恶意软件操作的类型并向系统或网络管理员发出警报。 （到目前为止我们一直在看到什么！）。然后由管理员执行所需的操作。

• 反应式入侵检测系统 :它不仅会检测威胁，还会通过重置可疑连接或阻止来自可疑来源的网络流量来执行特定操作。它也称为入侵防御系统。

入侵检测系统的典型特征：

• 它监控和分析用户和系统活动。
• 它对系统文件和其他配置以及操作系统进行审计。
• 它评估系统和数据文件的完整性
• 它根据已知攻击对模式进行分析。
• 它检测系统配置中的错误。
• 它会检测并警告系统是否处于危险之中。

免费入侵检测软件

Snort 入侵检测系统

使用最广泛的入侵检测软件之一是 Snort 软件。是一款由Source file开发的网络入侵检测软件。它执行实时流量分析和协议分析、模式匹配和各种攻击的检测。

基于 Snort 的入侵检测系统由以下组件组成：

• 数据包解码器 ：它从不同的网络获取数据包，并为预处理或任何进一步的操作做好准备。它基本上对即将到来的网络数据包进行解码。
• 预处理器 ：它准备和修改数据包，还对数据包进行碎片整理，解码 TCP 流。
• 检测引擎 ：基于Snort规则进行数据包检测。如果任何数据包符合规则，则会采取适当的措施，否则将被丢弃。
• 日志和警报系统 ：检测到的数据包要么记录在系统文件中，要么在遇到威胁时向系统发出警报。
• 输出模块 ：它们控制日志记录和警报系统的输出类型。

入侵检测系统的优势

• 网络或计算机会受到持续监控以防止任何入侵或攻击。
• 系统可以根据特定客户的需求进行修改和更改，可以帮助应对系统和网络的外部和内部威胁。
• 它有效地防止对网络造成任何损害。
• 它提供了一个用户友好的界面，可实现简单的安全管理系统。
• 可以轻松检测和报告对系统上文件和目录的任何更改。

入侵检测系统的唯一缺点是它们无法检测攻击源，并且在任何攻击情况下，它们只会锁定整个网络。如果对此概念或电气和电子项目有更多疑问，请在下面发表评论。