入侵檢測系統(tǒng)用于收集和分析網(wǎng)絡系統(tǒng)中多個關鍵節(jié)點的信息，并監(jiān)測安全策略沖突或網(wǎng)絡漏洞。入侵檢測系統(tǒng)一般包括三個基本功能組件：信息源、分析引擎和響應組件。

網(wǎng)絡安全產(chǎn)品入侵檢測系統(tǒng)的主要功能--工作原理

1、收集信息

    數(shù)據(jù)收集包括記錄系統(tǒng)、網(wǎng)絡、數(shù)據(jù)和用戶活動的狀態(tài)和行為。用于入侵檢測的信息通常來自系統(tǒng)和網(wǎng)絡日志文件、目錄和文件的異常更改，以及程序的異常操作。

2、信號分析

    通過模型匹配、統(tǒng)計分析和完整性分析，對收集到的系統(tǒng)、網(wǎng)絡、數(shù)據(jù)、狀態(tài)和用戶行為等信息進行分析。前兩種方法用于實時防盜檢測。使用完整性分析。

3、報警和響應

    根據(jù)入侵的類型，可以執(zhí)行適當?shù)木瘓蠛晚憫?br/>

網(wǎng)絡安全產(chǎn)品入侵檢測系統(tǒng)的主要功能

它可以提供安全審計、監(jiān)控、攻擊檢測和反攻擊等多種功能。它可以實時監(jiān)控內(nèi)部攻擊、外部攻擊和操作錯誤。它在網(wǎng)絡安全技術(shù)中發(fā)揮著不可替代的作用。

  1、實時監(jiān)控：實時監(jiān)控和分析網(wǎng)絡上的所有數(shù)據(jù)信息，發(fā)現(xiàn)并處理實時采集的數(shù)據(jù)信息。

  2、安全檢查：對系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析，發(fā)現(xiàn)異?，F(xiàn)象，獲取系統(tǒng)的安全狀態(tài)，尋找必要的證據(jù)。

  3、主動響應：主動中斷或登錄防火墻，調(diào)用其他程序進行處理。

網(wǎng)絡安全產(chǎn)品入侵檢測系統(tǒng)的主要功能--類型

1、基于主機的入侵檢測系統(tǒng)（HIDS）：

   基于主機的入侵檢測系統(tǒng)是一種早期的入侵檢測系統(tǒng)結(jié)構(gòu)，通常直接安裝在需要軟件類型保護的主機上。測試對象主要是主機系統(tǒng)和系統(tǒng)的本地用戶。檢測原則是根據(jù)主機審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。該方法具有信息量大、誤報率低、傳輸靈活等優(yōu)點。這種方法的缺點是降低了應用系統(tǒng)的性能。它取決于服務器的原始日志記錄和監(jiān)視功能。成本高。無法監(jiān)控網(wǎng)絡；必須在不同的系統(tǒng)上安裝多個傳感器系統(tǒng)。

2、基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）：

   基于網(wǎng)絡的入侵檢測模型是一種常見的監(jiān)控模型，需要專門的檢測設備。檢測設備不是主機，而是放置在重要的網(wǎng)絡段中，以連續(xù)監(jiān)視網(wǎng)絡段中的不同數(shù)據(jù)包。分析了監(jiān)控網(wǎng)絡中數(shù)據(jù)包或可疑數(shù)據(jù)包的特征。如果數(shù)據(jù)包符合產(chǎn)品的某些內(nèi)置規(guī)則，入侵檢測系統(tǒng)可能會發(fā)出警報，甚至直接中斷網(wǎng)絡連接。目前，大多數(shù)入侵檢測產(chǎn)品都是基于Web的。這種檢測技術(shù)的主要優(yōu)點是可以檢測網(wǎng)絡攻擊和未經(jīng)授權(quán)的訪問。
   無需更改主機配置（如服務器），這不會影響主機性能，低風險簡單設置。主要缺點是成本高，測試范圍有限。大量計算將影響系統(tǒng)性能。分析數(shù)據(jù)流對系統(tǒng)性能的影響。加密會話的過程很難處理。如果網(wǎng)絡速度非常高，將丟失大量數(shù)據(jù)包，這很容易被入侵者使用。無法識別加密數(shù)據(jù)包；無法檢測到主機的直接入侵。

網(wǎng)絡安全產(chǎn)品入侵檢測系統(tǒng)的主要功能--分析

   入侵檢測系統(tǒng)（IDS）是一種網(wǎng)絡安全設備，實時監(jiān)測網(wǎng)絡傳輸，并在傳輸可疑時發(fā)出警報或做出積極響應。

   該系統(tǒng)是手動的。也就是說，您不能在實際攻擊之前發(fā)出警報。

   作為防火墻后的第二道防線，它具有重要業(yè)務系統(tǒng)的網(wǎng)絡輸出，或用于高內(nèi)部網(wǎng)絡安全和旁路安全。

缺點

1、誤報率高：

   主要是誤報，將良性數(shù)據(jù)與惡性數(shù)據(jù)混淆。其他IDS產(chǎn)品對可能扭曲用戶的事件不感興趣。

2、產(chǎn)品適應性差：

   傳統(tǒng)IDS產(chǎn)品沒有考慮特定網(wǎng)絡環(huán)境的需求，適應性差。入侵檢測產(chǎn)品應適應當前網(wǎng)絡技術(shù)和設備的發(fā)展，并動態(tài)適應不同環(huán)境的要求。

3、大規(guī)模網(wǎng)絡管理能力差：

   首先，確保新的產(chǎn)品結(jié)構(gòu)能夠支持數(shù)百個IDS傳感器。然后處理傳感器的報警事件。最后，解決了攻擊函數(shù)數(shù)據(jù)庫的設置、設置和更新問題。

4、防御功能不足：

   大多數(shù)IDS產(chǎn)品缺乏主動防御功能。

5、處理性能下降：

   目前100MW和千兆IDS產(chǎn)品的性能指標與實際需求存在較大差距。