入侵检测系统技术概述

什么是入侵检测系统

入侵 Intrusion
对信息系统的非授权访问及（或）未经许可在信息系统中进行操作

入侵检测 Intrusion Detection
对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程

入侵检测系统（IDS）
用于辅助进行入侵检测或者独立进行入侵检测的自动化工具

为什么需要入侵检测系统
一、网络安全威胁日益增长
　　　　攻击工具唾手可得
　　　　入侵教程随处可见，图书、视频

二、网络攻击造成的破坏性和损失日益严重
 　　　　入侵不仅针对个人财产，更针对公司商业机密，甚至国家重要基础设施（伊朗核电站）
三、单纯的防火墙无法防范复杂多变的攻击
　　　　　　防火墙一般不提供对内部的保护。
　　　　　　防火墙无法防范数据驱动型的攻击。
　　　　　　防火墙不能防止Internet上下载被病毒感染的程序
　　　　　　防火墙不能防止通向站点的后门。
四、来自内部的非法访问
　　　　　　内部网的攻击占总的攻击事件的70%以上
　　　　　　没有监测的内部网是内部人员的“自由王国”
 

 防火墙=门卫，入侵检测系统=防盗、防火监控

 计算机系统面临的威胁