大家还记得吗？做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

  在本质上，入侵检测系统是一个典型的窥探设备。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将依据相应的配置进行报警或进行有限度的反击。

  也称基于系统的模型，它是通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来自于系统的审计日志，一般只能检测该主机上发生的入侵。这种模型有以下优点：

  ②更加细致：可以很容易地监测一些活动，如敏感文件、目录、程序或端口的存取，而这些活动很难基于协议的线索发现；

  ③视野集中：一旦入侵者得到了一个主机用户名和口令，基于主机的代理是最大有可能区分正常活动和非法活动的；

  ⑥对网络流量不敏感：用代理的方式正常情况下不会因为网络流量的增加而丢掉对网络行为的监视。

  即通过连接在网络上的站点捕获网上的包，并分析其有没有已知的攻击模式，以此来判别是否为入侵者。当该模型发现某些可疑的现象时，也一样会产生告警，并会向一个中心管理站点发出告警信号。这种模型有以下优点：

  ①侦测速度快：基于网络的监测器，通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠最近几分钟内审计记录的分析；

  ②隐蔽性好：一个网络上的监测器不像主机那样显眼和易被存取，因而也不那么容易遭受攻击；

  ③视野更宽：基于网络的方法还可以作用在网络边缘上，即攻击者还没能接入网络时就被制止；

  ④较少的监测器：由于使用一个监测器可保护一个共享的网段，所以不需要很多的监测器；

  根据模型和部署方式的不同，IDS分为基于主机的IDS、基于网络的IDS，以及由两者取长补短发展而来的新一代分布式IDS。

  输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行，监视操作系统或系统事件级别的可疑活动（如尝试登录失败）。此类系统要定义清楚哪些是不合法的活动，然后把这种安全策略转换成入侵检测规则。

  基于网络的IDS的输入数据来自互联网的信息流，该类系统一般被动地在网络上监听整个网段上的信息流，通过捕获网络数据包，做多元化的分析，能够检测该网络段上发生的网络入侵。

  一般由多个部件组成，分布在网络的每个部分，完成相应功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下，不但可以检测到针对单独主机的入侵，同时也可以检测到针对整网络上的主机的入侵。

  本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。