网络攻防学习笔记 Day43

入侵检测指的是从计算机系统或网络的若干关键点收集信息并进行分析，从中发现系统或网络中是否有违反安全策略的行为和被攻击迹象的安全技术。简单来说，入侵检测就是对指向计算机和网络资源的恶意行为的识别和响应技术。

实施入侵检测的软件与硬件的组合就是入侵检测系统（Intrusion DetectionSystem，IDS），入侵检测系统通过收集并分析操作系统、应用系统或者网络通信的信息判断是否发生了入侵活动。

通用入侵检测框架（Common Intrusion Detection Framework，CIDF）是一套规范，旨在使入侵检测系统标准化。CIDF 定义了入侵检测系统表达检测信息的标准语言以及入侵检测系统组件之间的通信协议。

CIDF 将入侵检测系统划分为事件产生器、事件分析器、响应单元和事件数据库等四个相互联系的部分组件。

操作系统的审计记录是经常被用于入侵检测的一类主机数据。审计记录由操作系统的审计子系统产生，按照时间顺序记录系统中发生的各类事件。

主机的审计信息反映的是系统整体运行情况，要将其转化为应用信息必须经过计算处理。而应用程序日志本身就是应用层次的活动记录，可以直接向入侵检测系统提供其所关注的应用的运行状况。

根据入侵检测系统信息源的不同，可以将入侵检测系统划分为基于主机的入侵检测系统（Host-based IDS,HIDS）、基于应用的入侵检测系统（Application-basedIDS,AIDS）和基于网络的入侵检测系统（Network-based IDS,NIDS）三种类型。三种入侵检测系统各有优缺点。入侵检测系统具体采用哪种数据作为信息源，主要取决于系统的检测目标。