IDS有许多不同类型的，都指哪些？求大神帮助

IDS分类 IDS有许多不同类型的，以下分别列出： ●IDS分类1－Application IDS（应用程序IDS）：应用程序IDS为一些特殊的应用程序发现入侵信号，这些应用程序通常是指那些比较易受攻击的应用程序，如Web服务器、数据库等。有许多原本着眼于操作系统的基于主机的IDS，虽然在默认状态下并不针对应用程序，但也可以经过训练，应用于应用程序。例如，KSE（一个基于主机的IDS）可以告诉我们在事件日志中正在进行的一切，包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。 ●IDS分类2－Consoles IDS（控制台IDS）：为了使IDS适用于协同环境，分布式IDS代理需要向中心控制台报告信息。现在的许多中心控制台还可以接收其它来源的数据，如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台，并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。 ●IDS分类3－File Integrity Checkers（文件完整性检查器）：当一个系统受到攻击者的威胁时，它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要（加密的杂乱信号），就可以定时地检查文件，查看它们是否被改变，这样就在某种程度上提供了保证。一旦检测到了这样一个变化，完整性检查器就会发出一个警报。而且，当一个系统已经受到攻击后，系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来，是“事后诸葛亮”，最近出现的许多产品能在文件被访问的同时就进行检查，可以看做是实时IDS产品了。该类产品有Tripwire和Intact。 ●IDS分类4－Honeypots（蜜罐）：关于蜜罐，前面已经介绍过。蜜罐的例子包括Mantrap和Sting。 ●IDS分类5－Host-based IDS（基于主机的IDS）：这类IDS对多种来源的系统和事件日志进行监控，发现可疑活动。基于主机的IDS也叫做主机IDS，最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能，主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的，系统的错误就可以很快地检测出来，技术人员和安全人士都非常喜欢它。现在，基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。 ●IDS分类6－Hybrid IDS（混合IDS）：现代交换网络的结构给入侵检测操作带来了一些问题。首先，默认状态下的交换网络不允许网卡以混杂模式工作，这使传统网络IDS的安装非常困难。其次，很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS（混合IDS）正是解决这些问题的一个方案，它将IDS提升了一个层次，组合了网络节点IDS和Host IDS（主机IDS）。虽然这种解决方案覆盖面极大，但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS，实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。 ●IDS分类7－Network IDS（NIDS，网络IDS）：NIDS对所有流经监测代理的网络通信量进行监控，对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器，但是近来它们变得更加智能化，可以破译协议并维护状态。NIDS存在基于应用程序的产品，只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析，但是在网络高负载下，还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。 ●IDS分类8－Network Node IDS（NNIDS，网络节点IDS）：有些网络IDS在高速下是不可靠的，装载之后它们会丢弃很高比例的网络信息包，而且交换网络经常会防碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机，从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似，但它们之间还有区别。对于被归类为NNIDS的个人防火墙，应该对企图的连接做分析。例如，不像在许多个人防火墙上发现的“试图连接到端口xxx”，一个NNIDS会对任何的探测都做特征分析。另外，NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。 ●IDS分类9－Personal Firewall（个人防火墙）：个人防火墙安装在单独的系统中，防止不受欢迎的连接，无论是进来的还是出去的，从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。 ●IDS分类10－Target-Based IDS（基于目标的IDS）：这是不明确的IDS术语中的一个，对不同的人有不同的意义。可能的一个定义是文件完整性检查器，而另一个定义则是网络IDS，后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度，因为它不搜寻那些不必要的攻击。

IDS是入侵检测系统。

（1）基于主机的IDS保护的是其所在的系统，运行在其所监视的系统之上；

（2）基于网络的IDS保护的是整个网段，部署于全部流量都要经过的某台设备上。

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

扩展资料：

按输入入侵检测系统的数据的来源来分，可以分为三类：

1、基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵；

2、基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵；

3、采用上述两种数据来源的分布式入侵检测系统：它能够同时分析来源于系统的审计日志和来源于网络的信息流，这种系统一般由多个部件组成。

参考资料来源：百度百科-IDS （入侵检测系统）

1、从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、经过分析得到数据，并产生分析结果。

3、对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

IDS系统缺陷

1998年2月，Secure Networks Inc.指出IDS有许多弱点，主要为：IDS对数据的检测；对IDS自身攻击的防护。由于当代网络发展迅速，网络传输速率大大加快，这造成了IDS工作的很大负担，也意味着IDS对攻击活动检测的可靠性不高。

而IDS在应对自身的攻击时，对其他传输的检测也会被抑制。同时由于模式识别技术的不完善，IDS的高虚警率也是它的一大问题。

---