入侵检测系统(IDS)

Q: 入侵检测系统(IDS) 是什么?

一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。 它属于网络安全的 网络安全 分类。

Q: 如何防御 入侵检测系统(IDS)?

针对 入侵检测系统(IDS) 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

入侵检测系统(IDS) 是什么?

入侵检测系统(IDS)一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。

入侵检测系统(IDS)检查流量、日志或系统调用,当观察到与已知特征匹配、统计异常或违反策略的活动时产生告警。IDS 可以部署在网络(NIDS,接入 SPAN/TAP 端口)或主机(HIDS,部署在端点),通常将告警发送到 SIEM 进行关联、研判和事件响应。由于 IDS 只检测而不阻断,部署上不易破坏流量,适合高吞吐、对可用性敏感的环境。要使 IDS 真正发挥作用,需要持续调优、及时更新特征库、结合威胁情报并由成熟的分析师工作流将告警转化为响应行动。

● 示例

01
Suricata 监听 SPAN 端口并对 Log4Shell 利用特征触发告警。
02
Linux 主机上的 OSSEC 监测到 /etc/passwd 被修改并将告警发送到 SIEM。

● 常见问题

入侵检测系统(IDS) 是什么?

一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。它属于网络安全的网络安全分类。

入侵检测系统(IDS) 是什么意思?

一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。

如何防御入侵检测系统(IDS)?

针对入侵检测系统(IDS) 的防御通常结合技术控制与运营实践,详见上方完整定义。

入侵检测系统(IDS) 还有哪些其他名称?

常见的别称包括: IDS。

入侵检测系统(IDS)

入侵检测系统(IDS) 是什么?

● 示例

● 常见问题

● 相关术语

● 另见