1.  入侵檢測系統(tǒng)

入侵檢測系統(tǒng)( Intrusion DetectionSysytem，IDS).是用于發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或違反安全策略行為的設(shè)備。人侵檢測系統(tǒng)主要功能包括：監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；對操作系統(tǒng)進(jìn)行日志管理，并識別違反安全策略的用戶活動；針對已發(fā)現(xiàn)的攻擊行為作出適當(dāng)?shù)姆磻?yīng)，如告警、中止進(jìn)程等。人侵檢測系統(tǒng)通過監(jiān)聽的方式獲得網(wǎng)絡(luò)的運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過各種手段向管理員報(bào)警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。

1)入侵檢測系統(tǒng)

入侵檢測系統(tǒng)根據(jù)部署方式及數(shù)據(jù)來源，可以分為基于網(wǎng)絡(luò)的入侵檢測和基于主機(jī)的入侵檢測。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)的所有數(shù)據(jù)，從中獲取有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點(diǎn)包括；具有平臺無關(guān)性、不影響主機(jī)的性能、對攻擊來說蹙透明的、能夠在較大的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行安全檢測、可檢測基于協(xié)議的攻擊行為。 其主要缺點(diǎn)包括；無法應(yīng)對加密數(shù)據(jù)流量、不能檢測主機(jī)內(nèi)部發(fā)生的入侵行為、對于交換網(wǎng)絡(luò)支持不足、處理負(fù)荷較重等。

基于主機(jī)的入侵檢測系統(tǒng)通過監(jiān)測主機(jī)的審記記錄、系統(tǒng)日志、應(yīng)用日志以及其它輔助數(shù)據(jù)，來查找和發(fā)現(xiàn)攻擊行為的痕跡?；谥鳈C(jī)的入侵檢測系統(tǒng)可以部署在各種計(jì)算機(jī)主機(jī)上?；谥鳈C(jī)的入侵檢測主要優(yōu)點(diǎn)包括；能監(jiān)測所有的系統(tǒng)行為、不需要額外的硬件支持、 禽旨適合加密環(huán)境、與網(wǎng)絡(luò)無關(guān)等。其主要缺點(diǎn)包括：與平臺有關(guān)、可移植性差、影響目標(biāo)主機(jī)的性能、無法檢測基于網(wǎng)絡(luò)的入侵行為。