什么叫做入侵检测?入侵检测系统的基本功能是什么?

Posted 2023-04-25

什么叫做入侵检测?入侵检测系统的基本功能是什么?

入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他提出了IDS的概念。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。 　　我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在： 　　（1）尽可能靠近攻击源 　　（ 2）尽可能靠近受保护资源 　　这些位置通常是： 　　·服务器区域的交换机上 　　·Internet接入路由器之后的第一台交换机上 　　·重点保护网段的局域网交换机上 　　由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。Venustech(启明星辰）、Internet Security System（ISS）、思科、赛门铁克等公司都推出了自己的产品。系统分类　　根据检测对象的不同，入侵检测系统可分为主机型和网络型。 参考技术A 1. 入侵者进入我们的系统主要有三种方式： 物理入侵 、系统入侵、远程入侵。

2. 入侵检测系统是进行入侵检测的软件与硬件的组合。

3. 入侵检测系统由三个功能部分组成，它们分别是感应器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和

基于网络的入侵检测系统。

5. 入侵检测系统根据工作方式分为在线检测系统和离线检测系统。

6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。

二、选择题

1. IDS产品相关的等级主要有(BCD)等三个等级：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS处理过程分为(ABCD )等四个阶段。

A: 数据采集阶段 B: 数据处理及过滤阶段 C: 入侵分析及检测阶段 D: 报告以及响应阶段

3. 入侵检测系统的主要功能有(ABCD )：

A: 监测并分析系统和用户的活动

B: 核查系统配置和漏洞

C: 评估系统关键资源和数据文件的完整性。

D: 识别已知和未知的攻击行为

4. IDS产品性能指标有(ABCD )：

A: 每秒数据流量

B: 每秒抓包数

C: 每秒能监控的网络连接数

D: 每秒能够处理的事件数

5. 入侵检测产品所面临的挑战主要有(ABCD )：

A: 黑客的入侵手段多样化

B: 大量的误报和漏报

C: 恶意信息采用加密的方法传输

D: 客观的评估与测试信息的缺乏

三、判断题

1. 有了入侵检测系统以后，我们可以彻底获得网络的安全。(F )

2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。( T )

3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F )

4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T )

四、简答题

1. 什么是入侵检测系统？简述入侵检测系统的作用？

答：入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合，事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。 入侵检测系统的作用主要是通过监控网络、系统的状态，来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。

2. 比较一下入侵检测系统与防火墙的作用。

答：防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道关卡。IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道关卡，是防火墙的必要补充。

3. 简述基于主机的入侵检测系统的优缺点？

答：优点：①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境

④成本低

缺点：①它在一定程度上依靠系统的可靠性，要求系统本身具有基本的安全功能，才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外，根本不检测网络上的情况

4. 简述基于网络的入侵检测系统的优缺点？

答：优点：①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击

缺点：①网络入侵检测系统只能检查它直接连接的网段的通信，不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法，只可以检测出普通的一些攻击，而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流，处理加密的会话过程比较困难。

5. 为什么要对入侵检测系统进行测试和评估？

答：①有助于更好地描述IDS的特征。②通过测试评估，可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估，确定IDS的性能级别及其对运行环境的影响。③利用测试和评估结果，可做出一些预测，推断IDS发展的趋势，估计风险，制定可实现的IDS质量目标(比如，可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果，对IDS进行改善。

6. 简述IDS的发展趋势？

答：①分布式②智能化③防火墙联动功能以及全面的安全防御方案④标准化方向 参考技术B 入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
　　入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。
　　入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

参考资料：http://baike.baidu.com/view/16487.htm

无人机之眼 | 目标检测-基本概念扫盲

  目标检测任务是计算机视觉的主要分支之一，但对于目标检测具体做什么，目标检测算法的有哪些类别以及相关定义却很少会有人关注，虽然这些对于解决实际问题显得有些无关紧要，但对于更加系统性的学习还是非常必要的。本文仅面向深度学习领域的目标检测。

一、什么是目标检测

• 目标检测（Object Detection）的任务是找出图像中所有感兴趣的目标（物体），确定它们的类别和位置，是计算机视觉领域的核心问题之一。由于各类物体有不同的外观、形状和姿态，加上成像时光照、遮挡等因素的干扰，目标检测一直是计算机视觉领域最具有挑战性的问题。
• 计算机视觉中关于图像识别有四大类任务：

分类-Classification：解决“是什么？”的问题，即给定一张图片或一段视频判断里面包含什么类别的目标。

定位-Location：解决“在哪里？”的问题，即定位出这个目标的位置。

检测-Detection：解决“是什么？在哪里？”的问题，即定位出这个目标的位置并且知道目标物是什么。

分割-Segmentation：分为实例的分割（Instance-level）和场景分割（Scene-level），解决“每一个像素属于哪个目标物或场景”的问题。

二、目标检测要解决的核心问题

  除了图像分类之外，目标检测要解决的核心问题是：

1.目标可能出现在图像的任何位置。

2.目标有各种不同的大小。

3.目标可能有各种不同的形状。

三、目标检测算法分类

  基于深度学习的目标检测算法主要分为两类：

1.Two stage目标检测算法

• 先进行区域生成（region proposal，RP）（一个有可能包含待检物体的预选框），再通过卷积神经网络进行样本分类。
• 任务：特征提取—>生成RP—>分类/定位回归。
• 常见的two stage目标检测算法有：R-CNN、SPP-Net、Fast R-CNN、Faster R-CNN和R-FCN等。

2.One stage目标检测算法

• 不用RP，直接在网络中提取特征来预测物体分类和位置。
• 任务：特征提取—>分类/定位回归。
• 常见的one stage目标检测算法有：OverFeat、YOLOv1、YOLOv2、YOLOv3、SSD和RetinaNet等

四、目标检测的应用

  目标检测具有巨大的实用价值和应用前景。应用领域包括人脸检测、行人检测、车辆检测、飞机航拍或卫星图像中道路的检测、车载摄像机图像中的障碍物检测、医学影像在的病灶检测等。还有在安防领域中，可以实现比如安全帽、安全带等动态检测，移动侦测、区域入侵检测、物品看护等功能。

五、结尾

  本文节选自《深度学习500问》，想要更加深入了解学习上文中所提及的算法，可以进入书中目标检测章节进行学习。

• End -

技术发展的日新月异，阿木实验室将紧跟技术的脚步，不断把机器人行业最新的技术和硬件推荐给大家。看到经过我们培训的学员在技术上突飞猛进，是我们培训最大的价值。如果你在机器人行业，就请关注我们的公众号，我们将持续发布机器人行业最有价值的信息和技术。 阿木实验室致力于为机器人研发提供开源软硬件工具和课程服务，让研发更高效！