F5 术语

入侵检测系统 (IDS)

什么是IDS(入侵检测系统)?

IDS 是“入侵检测系统”的缩写,是指旨在检测未授权访问内部网络的迹象并通知管理员的硬件或软件。

根据实现方式,IDS 可分为以下两种类型:

  • 基于主机的入侵检测系统 (HIDS): HIDS 作为软件安装在受保护的计算机上,通过监控操作系统日志等日志来检测入侵。
  • 基于网络的入侵检测系统 (NIDS): NIDS 作为受保护计算机网络段中的专用设备进行部署,可监控网络流量中是否存在未经授权的活动。 NIDS 通常更适合有效监控整个内部网络。

入侵检测方法包括:

  • 基于签名的检测: 使用描述已知威胁模式的签名文件进行识别。
  • 基于异常的检测: 识别异常或不正常的活动以检测违规行为。

IDS 的进化版本是入侵防御系统(IPS),它不仅可以检测攻击,还可以自动采取预防措施,例如阻止未授权访问。 然而,随着 Web应用的使用日益增多,IDS 或 IPS 无法阻止的违规行为变得越来越常见。 为了应对此类安全威胁,利用 Web应用防火墙 (WAF) 是一种有效的解决方案。