作為對防火墻及其有益的補充，IDS（入侵檢測系統）能夠幫助網絡系統快速發現網絡攻擊的發生，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。

　　IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

　　伴隨著計算機網絡技術和互聯網的飛速發展，網絡攻擊和入侵事件與日俱增，特別是近兩年，政府部門、軍事機構、金融機構、企業的計算機網絡頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護的網絡進行攻擊和入侵，如進行拒絕服務攻擊、從事非授權的訪問、肆意竊取和篡改重要的數據信息、安裝后門監聽程序以便隨時獲得內部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給這些機構和企業帶來了巨大的經濟損失和形象的損害，甚至直接威脅到國家的安全。

　　一、存在的問題

　　攻擊者為什么能夠對網絡進行攻擊和入侵呢？原因在于，我們的計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，主要表現在操作系統、網絡服務、TCP/IP協議、應用程序（如數據庫、瀏覽器等）、網絡設備等幾個方面。正是這些弱點、漏洞和不安全設置給攻擊者以可乘之機。另外，由于大部分網絡缺少預警防護機制，即使攻擊者已經侵入到內部網絡，侵入到關鍵的主機，并從事非法的操作，我們的網管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。

　　那么，我們如何防止和避免遭受攻擊和入侵呢？首先要找出網絡中存在的安全弱點、漏洞和不安全的配置；然后采用相應措施堵塞這些弱點、漏洞，對不安全的配置進行修正，最大限度地避免遭受攻擊和入侵；同時，對網絡活動進行實時監測，一旦監測到攻擊行為或違規操作，能夠及時做出反應，包括記錄日志、報警甚至阻斷非法連接。

　　IDS的出現，解決了以上的問題。設置硬件防火墻，可以提高網絡的通過能力并阻擋一般性的攻擊行為；而采用IDS入侵防護系統，則可以對越過防火墻的攻擊行為以及來自網絡內部的違規操作進行監測和響應。

二、IDS日顯重要

　　目前，隨著IDS技術的逐漸成熟，在整個安全部署中的重要作用正在被廣大用戶所認可和接受。為了確保網絡安全，必須建立一整套的安全防護體系，進行多層次、多手段的檢測和防護。IDS就是安全防護體系中重要的一環，它能夠及時識別網絡中發生的入侵行為并實時報警。IDS是繼“防火墻”、“信息加密”等傳統安全保護方法之后的新一代安全保障技術。它監視計算機系統或網絡中發生的事件，并對它們進行分析，以尋找危及機密性、完整性、可用性或繞過安全機制的入侵行為。IDS就是自動執行這種監視和分析過程的安全產品。

　　IDS的主要優勢是監聽網絡流量，不會影響網絡的性能。雖然在理論上，IDS對用戶不是必需的，但它的存在確實減少了網絡的威脅。有了IDS，就像在一個大樓里安裝了監視器一樣，可對整個大樓進行監視，用戶感覺很踏實，用IDS對用戶來說是很值得的。

　　入侵檢測系統作為一種積極主動的安全防護工具，提供了對內部攻擊、外部攻擊和誤操作的實時防護，在計算機網絡和系統受到危害之前進行報警、攔截和響應。它具有以下主要作用：通過檢測和記錄網絡中的安全違規行為，懲罰網絡犯罪，防止網絡入侵事件的發生；檢測其他安全措施未能阻止的攻擊或安全違規行為；檢測黑客在攻擊前的探測行為，預先給管理員發出警報；報告計算機系統或網絡中存在的安全威脅；提供有關攻擊的信息，幫助管理員診斷網絡中存在的安全弱點，利于其進行修補；在大型、復雜的計算機網絡中布置入侵檢測系統，可以顯著提高網絡安全管理的質量。

　 隨著用戶對IDS認識的加深，IDS在整個安全體系架構中的地位也在不斷提高，正成為一種必不可少的安全產品，在實際使用中，發揮著越來越大的作用，就像交通燈、攝像頭一樣，對攻擊者起到了一種威懾的作用，能夠對入侵行為，特別是常規的入侵行為做很好的監測，對網絡安全有一定的保護作用。

　　三、IDS是什么

　　在本質上，入侵檢測系統是一個典型的“窺探設備”。它不跨接多個物理網段（通常只有一個監聽端口），無須轉發任何流量，而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。IDS處理過程分為數據采集階段、數據處理及過濾階段、入侵分析及檢測階段、報告以及響應階段等四個階段。數據采集階段是數據審核階段。入侵檢測系統收集目標系統中引擎提供的主機通訊數據包和系統使用等情況。數據處理及過濾階段是把采集到的數據轉換為可以識別是否發生入侵的階段。分析及檢測入侵階段通過分析上一階段提供的數據來判斷是否發生入侵。這一階段是整個入侵檢測系統的核心階段,根據系統是以檢測異常使用為目的還是以檢測利用系統的脆弱點或應用程序的BUG來進行入侵為目的，可以區分為異常行為和錯誤使用檢測。報告及響應階段針對上一個階段中進行的判斷做出響應。如果被判斷為發生入侵，系統將對其采取相應的響應措施，或者通知管理人員發生入侵，以便于采取措施。最近人們對入侵檢測以及響應的要求日益增加，特別是對其跟蹤功能的要求越來越強烈。

　　目前，IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析：特征庫匹配、基于統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

　　特征庫匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。

　 該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

　　統計分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的賬戶卻在凌晨兩點試圖登錄，或者針對某一特定站點的數據流量異常增大等。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。

　　完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別極其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應。

四、IDS如何部署

　　防火墻在網絡安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網絡安全的第一道閘門。優秀的防火墻甚至對高層的應用協議進行動態分析，保護進出數據應用層的安全。但防火墻的功能也有局限性。防火墻只能對進出網絡的數據進行分析，對網絡內部發生的事件完全無能為力。

　　同時,由于防火墻處于網關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網絡性能。如果把防火墻比作大門警衛的話，入侵檢測就是網絡中不間斷的攝像機。在實際的部署中，IDS是并聯在網絡中，通過旁路監聽的方式實時地監視網絡中的流量，對網絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說，IDS是網絡安全的第二道閘門，是防火墻的必要補充，可構成完整的網絡安全解決方案。

　　嚴格地說，IDS并不是一個防范工具，它并不能阻斷攻擊。只有防火墻才能限制非授權的訪問，在一定程度上防止入侵行為。而IDS提供快速響應機制，報告入侵行為，意味著一種牽制政策。IDS可以與防火墻在功能上實現聯動，進行很好地配合，將大大提高網絡系統的安全性。當IDS檢測到入侵行為發生，立即發出一個指令給防火墻，防火墻馬上關閉通訊連接，從而阻斷入侵。

　　目前，大部分的IDS產品基本上由入侵檢測引擎和管理控制臺組成，在具體應用時可以根據網絡結構和需求做不同的部署。一般都部署在需要重點保護的部位，如企業內部重要服務器所在的子網，對該子網中的所有連接進行監控。根據網絡的拓撲結構的不同，入侵檢測系統的監聽端口可以接在共享媒質的集線器或交換機的鏡像端口（SpanPort）上、或專為監聽所增設的分接器（Tap）上。

　　五、IDS發展新趨勢

　　IDS作為網絡安全架構中的重要一環，其重要地位有目共睹。隨著技術的不斷完善和更新，IDS正呈現出新的發展態勢。IPS（入侵防御系統）的出現，應該說是IDS技術的一種新發展趨勢， IPS技術在IDS監測的功能上又增加了主動響應的功能，一旦發現有攻擊行為，立即響應，主動切斷連接。它的部署方式不像IDS并聯在網絡中，而是以串聯的方式接入網絡中。

　　除了IPS，也有廠商提出了IMS（入侵管理系統）。IDS將來的方向是向一個管理系統發展，而不是一個單純的監測系統。IDS必須和脆弱性分析有機結合，才能讓IDS的功能更加強大。因此，IMS是IDS未來的一個發展方向。

　 IMS技術是一個過程，在行為未發生前要考慮網絡中有什么漏洞，判斷有可能會形成什么攻擊行為和面臨的入侵危險；在行為發生時或即將發生時，不僅要檢測出入侵行為，還要主動阻斷，終止入侵行為；在入侵行為發生后，還要深層次分析入侵行為，通過關聯分析，來判斷是否還會出現下一個攻擊行為。

　　可以看出，IMS技術實際上包含了IDS、IPS的功能，并通過一個統一的平臺進行統一管理，從系統的層次來解決入侵行為。

　　入侵檢測是一門綜合性技術，既包括實時檢測技術，也有事后分析技術。盡管用戶希望通過部署IDS來增強網絡安全，但不同的用戶需求也不同，也由于攻擊的天然不確定性，單一的IDS產品可能無法做到面面俱到。因此，IDS的未來發展必然是多元化的。只有通過不斷改進和完善技術才能更好地協助網絡進行安全防御。

　　就目前來看，IDS仍舊是主流的入侵檢測技術，其重要性毋庸置疑。無論是IDS，還是IPS或IMS，其主要作用都是實時監控網絡中的異常流量，幫助用戶解決防火墻、防病毒等產品所不能解決的問題，IDS仍然是用戶除防火墻、防病毒外的首選產品。面對攻擊行為的不確定性，要保證網絡的安全，用戶需要實時監控，全網監測的時代已經來臨。