网络防御之IDS

1. 什么是IDS？

        IDS是入侵检测系统，一种对于网络传输进行及时监视，在发现可疑的传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极地主动的防御技术。

2. IDS和防火墙有什么不同？

        防火墙是一种隔离并过滤非授权用户对授权用户访问流量的设备。而IDS是一种对网络传输流量进行实时监控的设备，发现可疑的传输并及时报警或采取主动防御手段的安全设备。

3. IDS的工作原理

        如图所示：当外部的流量穿过防火墙之后，IDS会对经过的流量进行监控，如果发现外部的流量有可疑之处，则对其进行警报或启动主动防御手段，同时，IDS还会对内部的流量进行监测，如果出现非授权流量等异常，也会启动应对手段。

4.  IDS的主要检测方法有哪些详细说明？

        异常检测：收集操作活动的历史数据，建立代表主机、用户或网络连接的正常行为描述，判断是否发生入侵。比较成熟的异常检测方法有：统计异常检测方法、特征选择异常检测方法

        误用检测（特征检测）：对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名，判断入侵行为。优点是能够准确的判断已知的入侵行为，缺点是不能对未知的入侵行为进行诊断。

二者的区别：

        异常检测（Anomaly Detection）与误用检测（Misuse Detection）是两种不同的概念。异常检测的目标是寻找一个数据集中与预期不符合的数据，而误用检测则旨在检测违反了特定规则和预定义规范的非法行为。异常检测需要训练数据中有少量的异常，在未见过的输入中能够识别这些异常情况，而误用检测则需要已知的规则去识别那些不符合规则的操作

5. IDS的部署方式有哪些？

        IDS产品采用的是旁路部署方式，一般直接通过交换机的监听口进行网络报文采样，或者在需要监听的网络线路上放置侦听设备（如分光器）。每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量，部署在其他交换机下的主机间的流量无法被监听。由于企业内网可能层次化部署交换机，这种情况下，需要将所有需要监听的网段的交换机上的流量都通过监听端口连接到IDS设备上，然后对流量进行检测分析。

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

        IDS的签名就是特征的意思，入侵防御签名用来描述网络中存在的攻击行为的特征。

        签名过滤器：通俗来讲就是有一堆流量的时候，你只希望选择符合你要求的某一些流量进入，不符合要求的阻难。定义这些要求的工具，就是签名过滤器。

        例外签名的配置作用：例如我们设置了很多签名，这些签名都匹配上了动作，但是某个签名有误报，就导致我们一些正常的流量无法获取，所以我们想某个签名放行，这就用到列外签名。