入侵檢測系統

入侵檢測系統（英語：Intrusion-detection system，縮寫為 IDS）是一種網絡安全裝置或應用軟件，可以監控網絡傳輸或者系統，檢查是否有可疑活動或者違反企業的政策。偵測到時發出警報或者採取主動反應措施。它與其他網絡安全裝置的不同之處便在於，IDS是一種積極主動的安全防護技術。IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念^[1]。1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。1990年，IDS分化為基於網絡的N-IDS和基於主機的H-IDS。後又出現分散式D-IDS^[2]。

和防火牆相比

儘管兩者都與網絡安全相關，IDS不同於使用一系列靜態規則來放行網絡連接的傳統防火牆(區別於下一代防火牆)。本質上，為避免網絡上的入侵，防火牆會限制網絡間的訪問，不關注網絡內部的攻擊。IDS也能監控來自系統之內的攻擊。傳統上，這是通過對網絡通訊進行檢驗，而實現對常見攻擊模式的鑑定並行出警告。

構造

互聯網工程工作小組將IDS分為四部分：^{[來源請求]}

事件產生器，從計算環境中獲得事件，並向系統的其他部分提供此事件；
事件剖析器，分析數據；
響應單元，發出警報或採取主動反應措施；
事件資料庫，存放各種數據。

也有一種常見的分類，即：

驅動引擎，擷取和分析網絡傳輸；
控制台，管理引擎和發出報告或採取主動反應措施；

兩種分類都是合理的。

一個IDS由於其工作特性，需要有一個安全的內網環境以避免阻斷服務攻擊和黑客侵擾，而且進行網絡傳輸檢測也不需要合法的IP位址。因此一個典型的IDS應處在一個有DNS伺服器、防火牆或路由器的內網之中，從而完全與互聯網分開，阻止任何網絡主機對IDS的直接訪問。

基於網絡的IDS的數據源是網絡上的封包。它往往將一台主機的網卡設置為混雜模式，對所有本網段內的網絡傳輸進行檢測。一般基於網絡的IDS負責着保護整個網段。而基於主機的IDS功能與病毒防火牆類似，在須保護的系統背景執行，對主機活動進行檢測。

工作

除了簡單的記錄和發出警報之外，IDS還可以進行主動反應：打斷對談，和實現過濾管理規則。

入侵檢測

發現違反安全策略的網絡傳輸是IDS的核心功能。根據思科公司對入侵檢測技術的研究^[3]，可以將入侵檢測分為幾類：簡單模式匹配、狀態模式匹配、基於協定解碼的簽章、啟發式簽章和異常檢測（「簽章」指一組條件，如果滿足這組條件的話，就表明是某種類型的入侵活動）。很多研究將異常檢測的方法與機器學習等知識相結合衍生出了新一代的自動入侵檢測系統。他們各有優缺點，須根據實際情況使用。

攻擊響應

打斷對談

如果使用此措施，IDS引擎會先辨識並記錄潛在的攻擊，然後假扮對談連接的另一端，偽造一份報文給對談的兩端，造成對談連接中斷。這樣可以有效的關閉通訊對談，阻止攻擊。不同的IDS有可能在隨後的一段預定或隨機的時間內試圖阻止從攻擊者主機發出的所有通訊。

這種措施雖然強大，但是也有缺點。這種措施能夠阻止的是較長時間的攻擊，而像早期的「淚滴攻擊」使系統接收到一個特製分組報頭時就會崩潰的情況，這種方法無能為力。

過濾管理規則

一些IDS能夠修改遠端路由器或防火牆的過濾規則，以阻止持續的攻擊。根據安全策略的不同，這種措施可能包括阻止攻擊主機與目標主機的其他傳輸、阻止攻擊主機的所有傳輸；在某些特殊的情況下，也可以阻止目標主機的與特定網域內主機的通訊。

這種措施的優點是同樣阻止攻擊，它比打斷對談節省許多網絡傳輸。不過此種措施無法對抗來自內網的攻擊，以及有可能造成阻斷服務。

缺點

1998年2月，Secure Networks Inc.指出IDS有許多弱點，主要為：IDS對數據的檢測；對IDS自身攻擊的防護。由於當代網絡發展迅速，網絡傳輸速率大大加快，這造成了IDS工作的很大負擔，也意味着IDS對攻擊活動檢測的可靠性不高。而IDS在應對對自身的攻擊時，對其他傳輸的檢測也會被抑制。同時由於圖型識別技術的不完善，IDS的高虛警率也是它的一大問題。^[4]
由於IDS和通訊兩端及中間盒的TCP實現差異，其檢測手段可被客戶端注入的特製封包繞過，如防火長城。^[5]

參考資料

^ Anderson, James P. Computer Security Threat Monitoring and Surveillance (PDF). csrc.nist.gov (Washington, PA, James P. Anderson Co.). 1980-04-15 [2021-10-12]. （原始內容存檔 (PDF)於2019-05-14）.
^ IDS 二十年风雨历程. hc360.com. [2021-10-12]. （原始內容存檔於2014-11-15）.
^ 入侵检测系统袭击识别研究. cisco.com. 2002 [2021-10-12]. （原始內容存檔於2002-12-22）.
^ Thomas H. Ptacek, Tomothy N. Newsham. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (PDF). 1998 [2021-04-14]. （原始內容存檔 (PDF)於2018-01-07）（美國英語）.
^ Wang, Zhongjie. Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship (PDF). 2017 [2021-04-14]. doi:10.1145/3131365.3131374. （原始內容存檔 (PDF)於2018-06-20）（美國英語）.

參見

狀態防火牆

[1] Anderson, James P. Computer Security Threat Monitoring and Surveillance (PDF). csrc.nist.gov (Washington, PA, James P. Anderson Co.). 1980-04-15 [2021-10-12]. （原始內容存檔 (PDF)於2019-05-14）.

[2] IDS 二十年风雨历程. hc360.com. [2021-10-12]. （原始內容存檔於2014-11-15）.

[3] 入侵检测系统袭击识别研究. cisco.com. 2002 [2021-10-12]. （原始內容存檔於2002-12-22）.

[4] Thomas H. Ptacek, Tomothy N. Newsham. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (PDF). 1998 [2021-04-14]. （原始內容存檔 (PDF)於2018-01-07）（美國英語）.

[5] Wang, Zhongjie. Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship (PDF). 2017 [2021-04-14]. doi:10.1145/3131365.3131374. （原始內容存檔 (PDF)於2018-06-20）（美國英語）.

[1]

[2]

[3]

[4]

[5]