入侵檢測系統- 維基百科，自由的百科全書

入侵檢測系統（英語：Intrusion-detection system，縮寫為IDS）是一種網路安全裝置或應用軟體，可以監控網路傳輸或者系統，檢查是否有可疑活動或者違反企業的政策。

入侵檢測系統 維基百科，自由的百科全書 跳至導覽 跳至搜尋 此條目可參照英語維基百科相應條目來擴充。

(2021年10月12日)若您熟悉來源語言和主題，請協助參考外語維基百科擴充條目。

請勿直接提交機械翻譯，也不要翻譯不可靠、低品質內容。

依版權協議，譯文需在編輯摘要註明來源，或於討論頁頂部標記{{Translatedpage}}標籤。

此條目需要更新。

(2021年10月12日)請更新本文以反映近況和新增內容。

完成修改時，請移除本模板。

系列條目資訊安全 相關安全分類 電腦安全 汽車網路安全 網路犯罪（英語：Cybercrime） Cybersextrafficking 電腦詐騙（英語：Computerfraud） 網路末日戰（英語：Cybergeddon） 網路恐怖主義 網路戰 電子作戰 資訊戰 網際網路安全（英語：Internetsecurity） 移動安全 網路安全 複製保護 數位版權管理 威脅 廣告軟體 進階長期威脅 遠端代碼執行 軟體後門 硬體後門（英語：Hardwarebackdoors） 代碼注入 犯罪軟體 跨網站指令碼 挖礦劫持惡意軟體（英語：Cryptojackingmalware） 殭屍網路 資料泄露 路過式下載 瀏覽器輔助物件 電腦犯罪 電腦病毒 資料抓取（英語：Datascraping） 阻斷服務攻擊 竊聽 郵件詐騙（英語：Emailfraud） 郵件混淆（英語：Emailspoofing） 漏洞利用 鍵盤記錄 邏輯炸彈 定時炸彈（英語：Timebomb(software)） Fork炸彈 Zip炸彈 欺詐撥號器（英語：dialer） 惡意軟體 負載 釣魚式攻擊 多型引擎（英語：Polymorphicengine） 特權提升 勒索軟體 Rootkit 恐嚇軟體 Shellcode 濫發電子訊息 社會工程學 螢幕抓取（英語：Screenscrape） 間諜軟體 程式錯誤 特洛伊木馬 硬體文馬（英語：HardwareTrojan） 遠端桌面軟體 漏洞 後門殼層 刪除器（英語：Wiper(malware)） 電腦蠕蟲 SQL注入 流氓軟體 殭屍電腦 防禦 應用程式安全（英語：Applicationsecurity） 程式編寫安全（英語：Securecoding） 預設安全 基於安全的設計 誤用案例（英語：Misusecase） 電腦存取控制（英語：Computeraccesscontrol） 身分驗證 多重要素驗證 授權 電腦安全軟體（英語：Computersecuritysoftware） 防毒軟體 安全作業系統（英語：Security-focusedoperatingsystem） 以資料為中心的安全（英語：Data-centricsecurity） 代碼混淆 資料遮罩（英語：Datamasking） 加密 防火牆 入侵檢測系統 主機入侵檢測系統(HIDS) 異常檢測 安全性資訊與事件管理（英語：Securityinformationandeventmanagement）(SIEM) 安全行動閘道（英語：Mobilesecuregateway） 應用程式執行期保護（英語：Runtimeapplicationself-protection） 閱論編 入侵檢測系統（英語：Intrusion-detectionsystem，縮寫為IDS）是一種網路安全裝置或應用軟體，可以監控網路傳輸或者系統，檢查是否有可疑活動或者違反企業的政策。

偵測到時發出警報或者採取主動反應措施。

它與其他網路安全裝置的不同之處便在於，IDS是一種積極主動的安全防護技術。

IDS最早出現在1980年4月。

該年，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》的技術報告，在其中他提出了IDS的概念[1]。

1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。

1990年，IDS分化為基於網路的N-IDS和基於主機的H-IDS。

後又出現分散式D-IDS[2]。

目次 1和防火牆相比 2構造 3工作 3.1入侵檢測 3.2攻擊響應 3.2.1打斷會話 3.2.2過濾管理規則 4缺點 5參考資料 6參見 和防火牆相比[編輯] 儘管兩者都與網路安全相關，IDS不同於使用一系列靜態規則來放行網路連接的傳統防火牆(區別於下一代防火牆)。

本質上，為避免網路上的入侵，防火牆會限制網路間的存取，不關注網路內部的攻擊。

IDS也能監視來自系統之內的攻擊。

傳統上，這是通過對網路通信進行檢驗，而實現對常見攻擊模式的鑑定並行出警告。

構造[編輯] 網際網路工程工作小組將IDS分為四部分：[來源請求] 事件產生器，從計算環境中獲得事件，並向系統的其他部分提供此事件； 事件剖析器，分析資料； 回應單元，發出警報或採取主動反應措施； 事件資料庫，存放各種資料。

也有一種常見的分類，即： 驅動引擎，擷取和分析網路傳輸； 控制台，管理引擎和發出報告或採取主動反應措施； 兩種分類都是合理的。

一個IDS由於其工作特性，需要有一個安全的內網環境以避免阻斷服務攻擊和駭客侵擾，而且進行網路傳輸檢測也不需要合法的IP位址。

因此一個典型的IDS應處在一個有DNS伺服器、防火牆或路由器的內網之中，從而完全與網際網路分開，阻止任何網路主機對IDS的直接存取。

基於網路的IDS的資料來源是網路上的封包。

它往往將一台主機的網卡設定為混雜模式，對所有本網段內的網路傳輸進行檢測。

一般基於網路的IDS負責著保護整個網段。

而基於主機的IDS功能與病毒防火牆類似，在須保護的系統背景執行，對主機活動進行檢測。

工作[編輯] 除了簡單的記錄和發出警報之外，IDS還可以進行主動反應：打斷對談，和實現過濾管理規則。

入侵檢測[編輯] 發現違反安全策略的網路傳輸是IDS的核心功能。

根據思科公司對入侵檢測技術的研究[3]，可以將入侵檢測分為幾類：簡單模式匹配、狀態模式匹配、基於協定解碼的簽章、啟發式簽章和異常檢測（「簽章」指一組條件，如果滿足這組條件的話，就表明是某種類型的入侵活動）。

很多研究將異常檢測的方法與機器學習等知識相結合衍生出了新一代的自動入侵檢測系統。

他們各有優缺點，須根據實際情況使用。

攻擊回應[編輯] 打斷對談[編輯] 主條目：TCP重設攻擊 如果使用此措施，IDS引擎會先辨識並記錄潛在的攻擊，然後假扮對談連接的另一端，偽造一份報文給對談的兩端，造成對談連接中斷。

這樣可以有效的關閉通信對談，阻止攻擊。

不同的IDS有可能在隨後的一段預定或隨機的時間內試圖阻止從攻擊者主機發出的所有通信。

這種措施雖然強大，但是也有缺點。

這種措施能夠阻止的是較長時間的攻擊，而像早期的「淚滴攻擊」使系統接收到一個特製分組報頭時就會崩潰的情況，這種方法無能為力。

過濾管理規則[編輯] 一些IDS能夠修改遠端路由器或防火牆的過濾規則，以阻止持續的攻擊。

根據安全策略的不同，這種措施可能包括阻止攻擊主機與目標主機的其他傳輸、阻止攻擊主機的所有傳輸；在某些特殊的情況下，也可以阻止目標主機的與特定網域內主機的通信。

這種措施的優點是同樣阻止攻擊，它比打斷對談節省許多網路傳輸。

不過此種措施無法對抗來自內網的攻擊，以及有可能造成阻斷服務。

缺點[編輯] 1998年2月，SecureNetworksInc.指出IDS有許多弱點，主要為：IDS對資料的檢測；對IDS自身攻擊的防護。

由於當代網路發展迅速，網路傳輸速率大大加快，這造成了IDS工作的很大負擔，也意味著IDS對攻擊活動檢測的可靠性不高。

而IDS在應對對自身的攻擊時，對其他傳輸的檢測也會被抑制。

同時由於圖型識別技術的不完善，IDS的高虛警率也是它的一大問題。

[4] 由於IDS和通信兩端及中間盒的TCP實現差異，其檢測手段可被客戶端注入的特製封包繞過，如防火長城。

[5] 參考資料[編輯] ^Anderson,JamesP.ComputerSecurityThreatMonitoringandSurveillance(PDF).csrc.nist.gov(Washington,PA,JamesP.AndersonCo.).1980-04-15[2021-10-12].（原始內容存檔(PDF)於2019-05-14）.  ^IDS二十年风雨历程.hc360.com.[2021-10-12].（原始內容存檔於2014-11-15）.  ^入侵检测系统袭击识别研究.cisco.com.2002[2021-10-12].（原始內容存檔於2002-12-22）.  ^ThomasH.Ptacek,TomothyN.Newsham.Insertion,Evasion,andDenialofService:EludingNetworkIntrusionDetection(PDF).1998[2021-04-14].（原始內容存檔(PDF)於2018-01-07）（美國英語）.  ^Wang,Zhongjie.YourStateisNotMine:ACloserLookatEvadingStatefulInternetCensorship(PDF).2017[2021-04-14].doi:10.1145/3131365.3131374.（原始內容存檔(PDF)於2018-06-20）（美國英語）.  參見[編輯] 狀態防火牆 取自「https://zh.wikipedia.org/w/index.php?title=入侵检测系统&oldid=68588605」 分類：網絡安全電腦安全隱藏分類：CS1美國英語來源(en-us)自2021年10月需要從英語維基百科翻譯的條目需要從英語維基百科翻譯的條目自2021年10月待更新條目含有英語的條目有未列明來源語句的條目 導覽選單 個人工具 沒有登入討論貢獻建立帳號登入 命名空間 條目討論 臺灣正體 已展開 已摺疊 不转换简体繁體大陆简体香港繁體澳門繁體大马简体新加坡简体臺灣正體 查看 閱讀編輯檢視歷史 更多 已展開 已摺疊 搜尋 導航 首頁分類索引特色內容新聞動態近期變更隨機條目資助維基百科 說明 說明維基社群方針與指引互助客棧知識問答字詞轉換IRC即時聊天聯絡我們關於維基百科 工具 連結至此的頁面相關變更上傳檔案特殊頁面靜態連結頁面資訊引用此頁面維基數據項目 列印/匯出 下載為PDF可列印版 其他語言 العربيةAzərbaycancaCatalàČeštinaDeutschΕλληνικάEnglishEspañolEuskaraفارسیSuomiFrançaisעבריתHrvatskiMagyarBahasaIndonesiaItaliano日本語한국어NederlandsPortuguêsRomânăРусскийSlovenščinaSvenskaTürkçeУкраїнськаTiếngViệt 編輯連結