入侵检测系统

目录

入侵检测系统

两种入侵检测方法

1.基于特征的 IDS

2.基于异常的 IDS

---

入侵检测系统

·入侵检测系统 IDS (Intrusion Detection System) 能够在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。

·IDS 对进入网络的分组执行深度分组检查。当观察到可疑分组时，向网络管理员发出告警或执行阻断操作（由于 IDS 的“误报”率通常较高，多数情况不执行自动阻断）。

·IDS 能用于检测多种网络攻击，包括：网络映射、端口扫描、DoS 攻击、蠕虫和病毒、系统漏洞攻击等。

两种入侵检测方法

1.基于特征的 IDS

·维护一个所有已知攻击标志性特征的数据库。

·特征和规则通常由网络安全专家生成，由机构的网络管理员定制并将其加入到数据库中。

·只能检测已知攻击，对于未知攻击则束手无策。

·至今为止，大多数部署的 IDS 主要是基于特征的。

2.基于异常的 IDS

·通过观察正常运行的网络流量，学习正常流量的统计特性和规律。

·当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为。

·但区分正常流和统计异常流是一个非常困难的。

网络安全一些未来的发展方向：

（1）椭圆曲线密码 (Elliptic Curve Cryptography，ECC) ：已在 TLS 1.3 的握手协议中占据非常重要的地位，现已大量用于电子护照、金融系统。

（2）移动安全 (Mobile Security) ：例如移动支付安全等。

（3）量子密码 (Quantum Cryptography) ： 量子计算机的到来将使得目前许多使用中的密码技术无效，后量子密码学（Post-Quantum Cryptography）的研究方兴未艾。

（4）商密九号算法 SM9：一种标识密码(Identity-Based Cryptography) 算法。在互联网应用上有前景。

欢迎一起学习~