什么叫做入侵检测?入侵检测系统的基本功能是什么?

入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对 *** 传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的 *** 安全设备。它与其他 *** 安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他提出了IDS的概念。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于 *** 的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。 我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 IDS入侵检测系统以信息来源的不同和检测 *** 的差异分为几类。根据信息来源可分为基于主机IDS和基于 *** 的IDS，根据检测 *** 又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须 *** 流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危 *** 区域的访问流量和需要进行统计、监视的 *** 报文。在如今的 *** 拓扑中，已经很难找到以前的HUB式的共享介质冲突域的 *** ，绝大部分的 *** 区域都已经全面升级到交换式的 *** 结构。因此，IDS在交换式 *** 中的位置一般选择在： （1）尽可能靠近攻击源 （ 2）尽可能靠近受保护资源 这些位置通常是： ·服务器区域的交换机上 ·Internet接入路由器之后的之一台交换机上 ·重点保护网段的局域网交换机上 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。Venustech(启明星辰）、Internet Security System（ISS）、思科、赛门铁克等公司都推出了自己的产品。系统分类根据检测对象的不同，入侵检测系统可分为主机型和 *** 型。

什么是入侵检测系统

入侵监测系统处于防火墙之后对 *** 活动进行实时检测。许多情况下，由于可以记录和禁止 *** 活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。

入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击 IDS扫描当前 *** 的活动，监视和记录 *** 的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。 *** 扫描器检测主机上先前设置的漏洞，而IDS监视和记录 *** 流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。

IDS 入侵检测系统 理论·概念

入侵检测技术IDS是一种主动保护自己免受攻击的一种 *** 安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付 *** 攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响 *** 性能的情况下能对 *** 进行监测。它可以防止或减轻上述的 *** 威胁。

■ IDS 二十年风雨历程

■ 入侵检测系统（IDS）简介

■ 什么是入侵检测

■ IDS:安全新亮点

■ IDS的标准化

■ IDS的分类

■ IDS的体系结构

■ IDS的数据收集机制

■ IDS的规则建立

■ 我们需要什么样的入侵检测系统

■ IDS: *** 安全的第三种力量

■ 入侵检测术语全接触

■ 入侵检测应该与操作系统绑定

■ 入侵检测系统面临的三大挑战

■ 入侵检测系统(IDS)的弱点和局限(1)

■ 入侵检测系统(IDS)的弱点和局限(2)

■ 入侵检测系统(IDS)的弱点和局限(3)

■ 入侵检测系统(IDS)的弱点和局限(4)

IDS系统

入侵检测（Intrusion Detection），顾名思义，是对入侵行为的检测。它通过收集和分析计算机 *** 或计算机系统中若干关键点的信息，检查 *** 或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS。

■ IDS系统(1)

■ IDS系统(2)

■ IDS系统(3)

■ IDS系统(4)

■ IDS系统(5)

■ IDS系统(6)

IDS 应用·实践

在 *** 安全发展的今天,IDS即入侵检测系统在 *** 环境中的使用越来越普遍，当hacker在攻击一个装有IDS的 *** 服务器时，首先考虑到的是如何对付IDS，攻击主要采用,一我们如何攻击IDS,二,是我们如何绕过IDS的监视。下面将详细介绍当前的主要IDS分析、应用、实践。

■ 如何构建一个IDS?

■ IDS逃避技术和对策

■ 解析IDS的误报、误警与安全管理

■ IDS入侵特征库创建实例解析(1)

■ IDS入侵特征库创建实例解析(2)

■ 一个 *** 入侵检测系统的实现

■ IDS欺骗之Fragroute(1)

■ IDS欺骗之Fragroute(2)

■ 强大的轻量级 *** 入侵检测系统SNORT

■ Snort: 为你的企业规划入侵检测系统

■ 入侵检测实战之全面问答

■ 四问IDS应用

■ 安全战争:入侵检测能否追平比分?

■ 基于 *** 和主机的入侵检测比较

■ 入侵检测系统：理论和实践

■ 入侵检测 *** 和缺陷

■ 怎么实施和做好入侵检测

■ Win2K入侵检测实例分析

■ Win2000 Server入侵监测

■ 攻击入侵检测NIDS分析

■ ISS RealSecure：异常干净的入侵检测(1)

■ ISS RealSecure：异常干净的入侵检测(2)

■ ISS RealSecure：异常干净的入侵检测(3)

LIDS linux下的入侵监测系统

LIDS全称Linux 入侵检测系统，作者是Xie Huagang和Phil。LIDS 是增强 Linux 核心的安全的的补丁程序. 它主要应用了一种安全参考模型和强制访问控制模型。使用了 LIDS 后, 系统能够保护重要的系统文件,重要的系统进程, 并能阻止对系统配制信息的改变和对裸设备的读写操作。

■ linux下的入侵监测系统LIDS

■ LIDS译本

■ linux下的入侵监测系统LIDS原理（1）

■ linux下的入侵监测系统LIDS原理（2）

■ linux下的入侵监测系统LIDS原理（3）

■ linux下的入侵监测系统LIDS原理（4）

■ 用LIDS增强系统安全

■ LIDS攻略

■ LIDS功能及其安装和配置

■ LINUX下的IDS测试

■ Linux系统中的入侵检测

IDS 产品方案和技术发展

事实上，信息安全产品的概念、效用、技术、未来发展等一直处于争议之中，许多人怀疑仅凭几项技术能否阻止各类攻击。在入侵检测（IDS）领域尤其如此，漏报和误报问题长期困扰着技术专家和最终用户。虽然问题种种，步履蹒跚，但IDS产业在众多技术专家、厂商、用户以及媒体的共同努力下仍坚定地前进着、发展着，未来充满了希望之光。

■ 入侵检测产品比较

■ 选购IDS的11点原则

■ 入侵检测技术综述

■ IDS产品选购参考

■ IDS重在应用

■ 免费与付费IDS孰优孰劣？

■ Cisco VMS:增强入侵检测部署控制

■ IDS带来的安全革命:安全管理可视化

■ 企业需要什么样的IDS？——测试IDS的几个关键指标

■ 抗千兆攻击要靠新一代IDS

■ 协议分析技术：IDS的希望

■ IDS技术发展方向

■ IDS争议下发展

■ 新思维：基于免疫学的IDS

在电子商务整个运作过程中，典型的安全问题有几类，分别是什么

电子商务在整个运作过程中，主要存在的安全问题如下几种：

黑客攻击

黑客攻击是指黑客非法进入 *** ，非法使用 *** 资源。随着互联网的发展，黑客攻击也是经常发生，防不胜防，黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。

计算机病毒的攻击

病毒是能够破坏计算机系统正常进行，具有传染性的一段程序。随着互联网的发展，病毒利用互联网，使得病毒的传播速度大大加快，它侵入 *** ，破坏资源，成为了电子商务中计算机 *** 的又一重要安全威胁。

拒绝服务攻击

拒绝服务攻击（DoS）是一种破坏性的攻击，它是一个用户采用某种手段故意占用大量的 *** 资源，使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展，拒绝服务攻击成为了 *** 安全中的重要威胁。

开放性

开放性和资源共享是Internet更大的特点，但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。

缺乏安全机制的传输协议

TCP／IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题；TCP／IP协议是完全公开的，其远程访问的功能使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等这些性质使 *** 更加不安全。

软件系统的漏洞

随着软件系统规模的不断增大，系统中的安全漏洞或"后门"也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。

信息电子化

电子化信息的固有弱点就是缺乏可信度，电子信息是否正确完整是很难由信息本身鉴别的，而且在Internet传递电子信息，存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。

信息泄露

在电子商务中表现为商业机密的泄露，以上计算机 *** 安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏，主要包括两个方面：（1）交易一方进行交易的内容被第三方窃取。（2）交易一方提供给另一方使用的文件第三方非法使用。

篡改

正是由于以上计算机 *** 安全威胁与Internet的安全隐患，电子的交易信息在 *** 上传输的过程中，可能被他人非法地修改、删除或重放（指只能使用一次的信息被多次使用），这样就使信息失去了真实性和完整性。

身份识别

正是由于电子商务交易中交易两方通过 *** 来完成交易，双方互不见面、互不认识，计算机 *** 的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。

信息的破坏

计算机 *** 本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程序、逻辑炸弹等，导致电子商务中的信息在传递过程被破坏。

破坏信息的有效性

电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发的，计算机 *** 安全威胁与Internet的安全隐患，使得我们很难保证电子商务中的信息有效性。

泄露个人隐私

隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息，计算机 *** 安全威胁与Internet的安全隐患有可能导致个人信息泄露，破坏到个人隐私。

黑客入侵攻击工具有哪些？

DDOS，ARP，等等都算是攻击软件，但这些已经成熟的软件大多防火墙是个可阻档的~

想攻击别人，你必须要知道别人的漏洞在哪里，有什么漏洞可以入侵~

想做一名黑客，先从 *** 的七层开始学习吧~~

黑客攻击防御工具有哪些？

黑客若要对我们实施攻击，首先要找到我们的IP地址，否则无从下手。隐藏IP地址常用如下三法： 1、使用 *** 服务器(Proxy Server)：若我们浏览网站、聊天、BBS等，这时留下网址是 *** 服务器的，而非我们的网址。 2、使用工具软件：Norton Internet Security 具有隐藏IP的功能，若您的电脑前端有路由器、IP共享功能的集线器，则此法无效，因NIS只能隐藏你电脑的IP地址。 3、对于局域网中的电脑，浏览器中的Proxy的地址应设为与Internet连接的那台电脑的地址。 以上措施一定程度上防范了入侵，但仍存在疏漏之处，黑客仍可利用端口扫描找到你的IP地址，更进一步的措施就是“端口防范”。 端口防范 黑客或病毒对您入侵时，要不断地扫描您的计算机端口，如果您安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。入侵者很可能连续频繁扫描端口以寻找时机，监视程序也会不断地提示您，令您不胜其烦，如果您遇到这种入侵，可用工具软件关闭不用的端口，比如，用“Norton Internet Security ”关闭不用的80和443端口，这两个端口提供HTTP服务，如果您不提供网页浏览服务，尽可 关闭；关闭25和110端口，这两个提供 *** TP和POP3服务，不用时也应关闭，其他一些不用端口也可关闭。关闭了这些端口，无异于挡入侵者于大门之外。 在TCP/IP协议上，Windows是通过139端口与其他安装Windows系统的电脑进行连接，关闭此端口，可防范绝大多数的攻击。关闭步骤：[ *** ]→[配置]→[TCP/IP]→[属性]→[绑定]→[Microsoft *** 客户端](把此项前面的“√”去掉，若无此项可不作变动)。 关闭共享和设置密码 若您的电脑非局域网 *** 享硬盘存取的电脑，可关闭全部硬盘和文件夹共享，步骤是：[ *** ]→[文件和打印机共享]→[允许其他用户访问我的文件]前面的“√”去掉即可；如若不能关闭所有硬盘或文件夹共享，则对共享的部分需设置只读与密码，步骤是：右键单击某[文件夹]→[共享…]，需注意，由于Windows 9x与Windows Me的共享密码极易被破解，而Windows 2K与Windows XP的密码较安全，级您的操作系统是明智之举。 ActiveX控件与Java的防护 网页中ActiveX控件与Java Applets有较强的功能，而对其功能往往是未知的，一旦是恶意所为，破坏是相当大的，不得不防。IE对此也采取了慎重态度，提供了多种选择，具体设置步骤是：[工具]→[Internet选项]→[安全]→[自定义级别]，建议您对不了解的网页的ActiveX控件与Java程序采取严防的态度。

什么是入侵检测系统？它有哪些基本组件构成

入侵检测是防火墙的合理补充，帮助系统对付 *** 攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息，并分析这些信息，看看 *** 中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响 *** 性能的情况下能对 *** 进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

· 监视、分析用户及系统活动；

· 系统构造和弱点的审计；

· 识别反映已知进攻的活动模式并向相关人士报警；

· 异常行为模式的统计分析；

· 评估重要系统和数据文件的完整性；

· 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解 *** 系统（包括程序、文件和硬件设备等）的任何变更，还能给 *** 安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得 *** 安全。而且，入侵检测的规模还应根据 *** 威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断 *** 连接、记录事件和报警等。

信息收集入侵检测的之一步是信息收集，内容包括系统、 *** 、数据及用户活动的状态和行为。而且，需要在计算机 *** 系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的更好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测 *** 系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

入侵检测利用的信息一般来自以下四个方面：

1.系统和 *** 日志文件

黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和 *** 日志文件信息是检测入侵的必要条件。日志中包含发生在系统和 *** 上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

*** 环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

*** 系统上的程序执行一般包括操作系统、 *** 服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与 *** 间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。