入侵检测系统 · IDS
📌 一句话理解
入侵检测系统就是“网络摄像头+报警器”:一直盯着网络看,发现可疑行为就报警。
🚨 什么是IDS?
入侵检测系统(IDS) 是一种安全技术,通过部署在受保护网络中的检测设备,监视网络和系统状态,发现非授权或恶意的行为并发出警报。
┌─────────────────────────────────────────────────────────────────┐
│ IDS工作原理 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ 网络流量 │ │
│ │ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ │ │
│ │ │数据 │ │数据 │ │数据 │ │数据 │ │数据 │ │ │
│ │ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ │ │
│ │ └───────┴───────┼───────┴───────┘ │ │
│ │ ▼ │ │
│ │ ┌─────────────┐ │ │
│ │ │ IDS │ ← 分析每个数据包 │ │
│ │ └──────┬──────┘ │ │
│ │ │ │ │
│ │ ┌───────────┴───────────┐ │ │
│ │ ▼ ▼ │ │
│ │ ┌───────────┐ ┌───────────┐ │ │
│ │ │ 正常流量 │ │ 发现攻击 │ │ │
│ │ │ 放行 │ │ 报警! │ │ │
│ │ └───────────┘ └───────────┘ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────┘
🔧 IDS的三大任务
| 任务 | 说明 |
|---|
| 采集数据 | 收集网络和系统中的数据 |
| 判断行为 | 分析数据,识别正常还是异常 |
| 提供手段 | 为防范入侵提供支持 |
🆚 IDS vs 防火墙
| 对比 | 防火墙 | IDS |
|---|
| 作用 | 阻止非法访问(守门) | 发现入侵行为(巡逻) |
| 位置 | 网络入口 | 网络内部 |
| 响应 | 直接拦截 | 发出警报,事后处理 |
| 类比 | 小区门卫 | 小区监控摄像头 |
🏠 生活中的例子
| 场景 | 类比 |
|---|
| 学校 | 监控摄像头 + 保安巡逻 |
| 网站 | 检测异常访问、暴力破解 |
| 服务器 | 检测可疑登录、异常进程 |
✅ 自测小问题
- IDS的全称是什么?
- IDS和防火墙有什么区别?
点击查看答案
- Intrusion Detection Systems(入侵检测系统)
- 防火墙是守门(阻止非法进入),IDS是巡逻(发现入侵后报警)
📚 教材链接
- 教材位置:第五章 5.2.3 信息系统安全风险防范的常用技术