【网络安全】网络入侵检测——入侵检测系统_基于网络的入侵检测系统

入侵检测系统（IDS）是一种用于检测网络或系统中潜在威胁的设备或软件应用。它可以帮助我们发现未知的攻击，例如零日攻击，或者已知的攻击，例如DDoS攻击。

1.1 IDS的类型

IDS主要有两种类型：基于网络的IDS（NIDS）和基于主机的IDS（HIDS）。

基于网络的IDS（NIDS）：NIDS是在网络级别工作的IDS。它通过监控网络流量来检测威胁。例如，如果NIDS检测到一种已知的攻击模式，例如SYN洪水攻击，它可以生成一个警告。

基于主机的IDS（HIDS）：HIDS是在主机级别工作的IDS。它通过监控系统日志，文件系统变化，或者系统调用来检测威胁。例如，如果HIDS检测到一个文件被修改，而这个文件不应该被修改，它可以生成一个警告。

1.2 IDS的工作原理

IDS主要有两种工作原理：基于签名的检测和基于异常的检测。

基于签名的检测：基于签名的检测是通过比较网络流量或系统行为与已知的攻击签名来检测威胁。例如，如果IDS检测到网络流量中包含一个已知的攻击模式，例如SQL注入，它可以生成一个警告。

基于异常的检测：基于异常的检测是通过比较网络流量或系统行为与正常的模式来检测威胁。例如，如果IDS检测到网络流量中包含一个异常的模式，例如流量突然增加，它可以生成一个警告。

1.3 IDS的示例

一个常见的IDS是Snort。Snort是一个开源的NIDS，它可以用于检测网络中的威胁。以下是一个Snort的示例规则，它可以用于检测SYN洪水攻击：

alert tcp any any -> $HOME_NET 22 (flags: S; msg: "SYN flood attack detected"; threshold: type both, track by_src, count 100, seconds 10; sid:1000001;)
1

这个规则会在10秒内检测到来自同一源的100个SYN包时，生成一个名为"SYN flood attack detected"的警告。

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，

那么你需要的话可以点击这里网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析