入侵检测系统

入侵检测系统（简称IDS）是一种对网络传输或系统活动进行实时监控，并在发现可疑行为或违反安全策略的活动时发出警报的安全设备或软件。

第一步：核心概念与基本定位
您可以将其想象为监控摄像头和警报系统。它不是一堵墙（那是防火墙），而是安装在“墙内”的监控系统。它的核心职责是“监视”和“警报”，而不是主动阻止。IDS通过部署在网络关键节点（网络型IDS）或重要主机上（主机型IDS），不间断地收集流量或日志数据，并与已知的攻击特征或正常行为基线进行比较。

第二步：核心工作方法与技术分类
IDS主要依靠两种技术来发现入侵：

1. 误用检测（基于特征）：如同病毒库。它维护一个庞大的攻击特征库（例如，特定恶意软件的网络包序列、特定漏洞利用的字符串）。当监测到的数据与特征库匹配时，即触发警报。这种方法对已知攻击准确率高，但无法识别未知攻击（零日漏洞）。
2. 异常检测（基于行为）：首先建立系统或网络在正常状态下的“行为基线”（如CPU使用率、用户登录时间、网络流量模式）。当监测到的活动显著偏离这个基线时（例如，深夜大量访问敏感文件），就会触发警报。这种方法理论上能发现未知威胁，但误报率较高，因为正常行为的改变也可能被误判为攻击。

第三步：关键部署模式详解
根据部署位置，其监控视野和能力不同：

1. 网络入侵检测系统：部署在网络核心交换机等关键链路上，通过镜像或分光的方式获取流经该链路的所有数据包。它能看到整个网段的威胁态势，但对加密流量和主机内部活动无能为力。
2. 主机入侵检测系统：以代理软件的形式安装在需要保护的关键服务器或工作站上。它监控该主机的系统日志、文件完整性、进程调用和网络连接，能精准发现针对该主机的攻击细节，但管理分散，视野局限于单台主机。

第四步：架构演进与核心局限
传统IDS是独立设备，随着技术发展，出现了分布式IDS，由多个位于不同网段的传感器和一个中央控制台组成，能实现协同分析。然而，无论何种形式，传统IDS都存在一个根本性局限：它只报警，不自动采取阻断行动。这会导致从发现攻击到管理员手动介入之间存在时间差，攻击可能已经得逞。这一局限直接催生了它的演进形态——入侵防御系统。

第五步：与入侵防御系统的区别与联系
为了弥补IDS被动报警的不足，入侵防御系统（IPS） 被发明。您可以简单理解IPS为“带阻断功能的IDS”。它串联部署在网络中（位于流量必经之路上），当检测到攻击时，不仅发出警报，还能实时丢弃恶意数据包、重置连接或修改防火墙策略来主动阻断攻击。因此，IDS的核心价值在于监控、审计和取证，提供威胁可见性；而IPS的核心价值在于实时、主动的防护。在现代安全架构中，两者常结合使用，IDS用于旁路监测提供全景视角，IPS用于关键入口进行实时防御。