入侵检测系统是如何工作的？

Question

入侵检测系统是如何工作的？据我所知，他们监控网络流量，但他们到底在寻找什么呢？他们如何区分正常活动和入侵？

Answer 1

您通常有两种IDS:基于网络的IDS和基于主机的IDS，它们可以是签名或统计响应类型。

签名IDS具有简单、快速、易于更新等特点。通常供应商提供签名文件-类似于反病毒供应商提供病毒签名的方式。因此，大多数IDS使用签名识别。缺点是，除非新攻击具有与现有攻击相匹配的签名，否则它们不会识别新攻击。

统计或启发式IDS的学习什么‘好’或正常流量是什么样子，并提醒任何不正常的东西。这确实意味着它们在发现新的攻击方面要好得多，但在最初安装并定期执行新服务器、服务以及预期任何新的流量类型或卷时，需要学习一段时间。

基于网络的IDS通常是在组织的周边实现的，它们可以看到所有进入(有时退出)组织的通信量。如果流量显示它可能是恶意的，它将被记录或标记到响应系统或人员。

对于大型组织来说，不同有效流量类型的数量可能非常高，而且流量类型可能随时间而变化，因此正在进行的基于周边网络的IDS的配置和优化可能需要大量的资源。因此，大多数大公司将此外包给向许多组织提供服务的供应商。这些供应商对发生的攻击有更好的可见性，在调优和响应方面具有规模优势，并且能够同时更新所有客户端的签名。

基于主机的IDS通常在内部为特定的高值服务器实现。流量类型和负载通常要低得多，可预测性更强，因此资源需求通常较低。

还请看一下这个问题 --一些关于基于异常的(统计) IDS的讨论。

Answer 2

维基百科有一个良好的开端。对这个问题的回答。

节选：

所有入侵检测系统都使用两种检测技术中的一种：

基于统计异常的IDS:基于统计异常的IDS在正常网络流量评估的基础上建立性能基线.然后，它将采样当前网络流量活动到这个基线，以检测它是否在基线参数内。如果采样的流量在基线参数之外，则会触发警报。基于签名的IDS:对网络流量进行预配置和预定攻击模式的检查，称为签名。今天的许多攻击都有明显的特征。在良好的安全做法中，必须不断更新这些签名的集合，以减轻新出现的威胁。