IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
我們做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓裏的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行爲,只有實時監視系統才能發現情況併發出警告。
不同於防火牆,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這裏,"所關注流量"指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。在如今的網絡拓撲中,已經很難找到以前的HUB式的共享介質衝突域的網絡,絕大部分的網絡區域都已經全面升級到交換式的網絡結構。因此,IDS在交換式網絡中的位置一般選擇在:
(1)儘可能靠近攻擊源
(2)儘可能靠近受保護資源
這些位置通常是:
·服務器區域的交換機上
·Internet接入路由器之後的第一臺交換機上
·重點保護網段的局域網交換機上
防火牆和IDS可以分開操作,IDS是個監控系統,可以自行選擇合適的,或是符合需求的,比如發現規則或監控不完善,可以更改設置及規則,或是重新設置!
◎早期的IDS僅僅是一個監聽系統,在這裏,你可以把監聽理解成竊聽的意思。基於目前局網的工作方式,IDS可以將用戶對位於與IDS同一交換機/HuB的服務器的訪問、操作全部記錄下來以供分析使用,跟我們常用的windows操作系統的事件查看器類似。再後來,由於IDS的記錄太多了,所以新一代的IDS提供了將記錄的數據進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審覈上很象;目前新一代的IDS,更是增加了分析應用層數據的功能,使得其能力大大增加;而更新一代的IDS,就頗有“路見不平,拔刀相助”的味道了,配合上防火牆進行聯動,將IDS分析出有敵意的地址阻止其訪問。
就如理論與實際的區別一樣,IDS雖然具有上面所說的衆多特性,但在實際的使用中,目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網絡上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷數據包來阻斷當前行爲,並且IDS的阻斷範圍也很小,只能阻斷建立在TCP基礎之上的一些行爲,如Telnet、FTP、HTTP等,而對於一些建立在UDP基礎之上就無能爲力了。因爲防火牆的策略都是事先設置好的,無法動態設置策略,缺少針對攻擊的必要的靈活性,不能更好的保護網絡的安全,所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網絡隱患降至較低限度。