什么是入侵检测？

什么叫入侵检测？~

入侵检测是能够检测到网络上不正常、不合法活动的网络技术。入侵检测系统运行在一台主机上，监视该主机上的恶意活动被称为基于主机的入侵检测系统。入侵检测系统运行在网络数据流上被称为基于网络的入侵检测系统。有时，"滥用"和"入侵"两个词是有区别的。"入侵"通常是指来自外网的攻击；而"滥用"通常用来描述来自内网的攻击。然而，大多数人并不划分得这么详细。

最常用的两种入侵检测方法是统计异常发现和模式匹配。


入侵检测技术综述
http://edu.sina.com.cn/l/2001-12-26/20156.html

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

检测步骤
(1)信息收集。入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。
而且，需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的昂好标识。
当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只昶用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其他工具。
黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件(票客隐藏了初始文件并用另一版本代替)。
这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。
(2)信号分析。对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

所谓入侵检测其实就是指试图监视和尽可能阻止有害信息的入侵，或者其他能够对用户的系统和网络资源产生危害的行为．入侵检测分为三种：1.基于网络的入侵检测系统2.基于主机的入侵检测系统3.基于漏洞的入侵检测系统．

入侵检测是能够检测到网络上不正常、不合法活动的网络技术。入侵检测系统运行在一台主机上，监视该主机上的恶意活动被称为基于主机的入侵检测系统。入侵检测系统运行在网络数据流上被称为基于网络的入侵检测系统。有时，"滥用"和"入侵"两个词是有区别的。"入侵"通常是指来自外网的攻击；而"滥用"通常用来描述来自内网的攻击。然而，大多数人并不划分得这么详细。

最常用的两种入侵检测方法是统计异常发现和模式匹配。

入侵检测技术综述
http://edu.sina.com.cn/l/2001-12-26/20156.html

入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。

检查是否有可疑活动或者违反企业的政策。
入侵检测系统（英语：Intrusion-detection system，缩写为 IDS）是一种网络安全设备或应用软件，可以监控网络传输或者系统，检查是否有可疑活动或者违反企业的政策。侦测到时发出警报或者采取主动反应措施。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。
IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他提出了IDS的概念。1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。1990年，IDS分化为基于网络的N-IDS和基于主机的H-IDS。后又出现分布式D-IDS。

---

菏泽市17195017011： 入侵检测 - 搜狗百科？
濮汤安斯： 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术.进行入侵检测的软件与硬件的组合便是入侵检测系统

菏泽市17195017011： 什么是入侵检测? - ？
濮汤安斯： 入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉.他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.入侵检测(Intrusion ...

菏泽市17195017011： 有谁知道什么是入侵检测呢? ？
濮汤安斯： 入侵检测Fragmentation(分片)如果一个信息包太大而无法装载,它就不得不被分成片断

菏泽市17195017011： 什么是入侵检测系统? - ？
濮汤安斯： 楼上的,不懂不要乱说 入侵监测系统就是IDS,发现可以数据传输时候发出警报并采取措施的网络安全软件 具体参见百度百科

菏泽市17195017011： 入侵检测是什么意思? ？
濮汤安斯： 入侵检测CVE(CommonVulnerabilitiesandExposures,通用漏洞披露)关于漏洞的一个老问题就是在设计扫描程序或应对策略时,不同的厂商对漏洞的称谓也会完全不同

菏泽市17195017011： 入侵检测具体是指什么? ？
濮汤安斯： 入侵检测HoneynetProject(Honeynet工程)Honeynet是一种学习工具,是一个包含安全缺陷的网络系统

菏泽市17195017011： 如何概述什么是入侵检测? ？
濮汤安斯： 操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯

菏泽市17195017011： 什么叫入侵检测?...？
濮汤安斯： 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性.它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象

菏泽市17195017011： 什么是入侵检测,以及入侵检测的系统结构组成? - ？
濮汤安斯： 入侵检测(Intrusion Detection)是对入侵行为的检测.它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象.入...