05入侵检测系统（IDS）

## 概述

入侵检测系统（Intrusion Detection System ） 是一种被动监控网络安全状况的设备或软件。它的核心使命是 “侦听与警报”——通过旁路部署的方式，持续地监控网络流量或系统活动，从中识别出恶意的、未经授权的或异常的行为，并向管理员发出警报。

> 一个经典的比喻是：

防火墙 是门卫，负责执行出入规则。

IPS 是主动的安保专家，在门口实时拦截危险分子。

IDS 则是遍布周围的监控摄像头和传感器，它不直接干预，但能7x24小时记录所有活动，并在检测到可疑行为（如盗窃、入侵）时立即向保安室（管理员）发出警报。

## 特点

被动监听与分析：这是IDS与IPS最根本的区别。

IDS以旁路（Span Port） 方式部署，接收交换机或路由器镜像过来的一份流量副本。它不直接处理原始流量，因此不会引入网络延迟，也不会因为自身故障中断网络业务。

专注于检测与警报：IDS的核心价值在于其强大的分析能力。它通过多种技术手段深度挖掘流量中的威胁，但它的响应手段是“事后”的，即生成警报日志，而非实时阻断。

事后调查与取证的基石：由于IDS记录了完整的攻击事件和上下文信息，它在安全事件发生后扮演着“黑匣子”的角色，是进行安全分析、追踪攻击链和取证复盘不可或缺的工具。

隐蔽性：由于不直接串联在网络中，攻击者通常难以感知到IDS的存在，这使得IDS能够更有效地监控攻击行为本身。

## 主要类型

根据监控数据来源的不同，IDS主要分为两类：

> **网络型入侵检测系统（NIDS）**

部署位置：部署在网络的关键节点（如网络出口、核心交换机、DM区），监控整个网段的流量。

工作原理：分析流经监控网段的所有数据包，通过深度包检测技术寻找攻击迹象。

优点：能够获得全局视野，发现针对网络中多个主机的扫描和攻击。

缺点：在处理加密流量和高速网络时面临挑战。

> **主机型入侵检测系统（HIDS）**

部署位置：安装在需要保护的单个主机上（如服务器、工作站）。

工作原理：监控主机的内部活动，包括：

- 系统日志、安全日志
- 文件完整性（如关键系统文件是否被篡改）
- 运行的进程列表
- 网络连接情况

优点：能够检测到NIDS看不到的内部攻击（如本地提权）和精确的系统级异常。

缺点：需要在每台主机上安装代理，管理开销较大。

> **补充**

网络行为分析（NBA）：专注于检测大规模的异常流量模式，如DDoS攻击、僵尸网络活动。

基于协议的IDS：专门分析特定应用协议（如DNS, HTTP）的异常。

## 技术

### **误用检测（签名检测）**

原理：拥有一个庞大的攻击特征库。当监控到的活动与某个特征匹配时，即触发警报。

优点：对已知攻击准确率高、误报率相对较低。

缺点：无法检测未知的（0day）攻击，完全依赖特征库的更新。

### **异常检测**

原理：首先通过学习建立网络或主机在正常状态下的行为基线。随后，持续将当前活动与基线进行比较，任何显著的偏差都会被标记为异常并产生警报。

优点：理论上能够发现前所未有的新型攻击和零日漏洞利用。

缺点：误报率通常很高，且建立准确的基线需要时间和持续的调优。

### **状态协议分析**

原理：不仅检查单个数据包，还理解并跟踪网络协议的状态（例如，一个完整的TCP三次握手过程）。它能够识别出违反协议标准的、旨在混淆或破坏系统的通信行为。

优点：能有效检测协议漏洞利用和逃避技术，误报率低。

## **IDS与IPS的对比总结**

| 特性       | **入侵检测系统（IDS）**      | **入侵防御系统（IPS）**                |
| ---------- | ---------------------------- | -------------------------------------- |
| 部署模式   | 旁路监听                     | 串联部署                               |
| 核心作用   | 监控、警报、取证             | 检测、实时阻断、防护                   |
| 对网络影响 | 无直接影响，不增加延迟       | 直接影响，处理不当可能成为瓶颈         |
| 响应方式   | 被动警报、日志记录、联动响应 | 主动丢弃数据包、重置连接               |
| 风险       | 漏检是主要风险               | **误报**是主要风险（可能导致业务中断） |
| 典型场景   | 安全监控、事后调查、合规审计 | 网络边界、关键区域入口，主动防御       |