随着IDS（入侵检测系统）的超速发展，与之相关的术语同样急剧演变。本文向大家介绍一些IDS技术术语，其中一些是非常基本并相对通用的，而另一些则有些生僻。由于IDS的飞速发展以及一些IDS产商的市场影响力，不同的产商可能会用同一个术语表示不同的意义，从而导致某些术语的确切意义出现了混乱。对此，本文会试图将所有的术语都囊括进来。 Alerts（警报） 当一个入侵正在发生或者试图发生时，IDS系统将发布……

为什么要用IDS？ 谈到网络安全，人们第一个想到的是防火墙。但随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统(IDS)技术的研究和开发。首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。其次，防火墙完全不能阻止来自内部的袭击，而通过调查发现，50%的攻击都将来自于内部，对……

根据检测原理进行分类传统的观点根据入侵行为的属性将其分为异常和滥用两种，然后分别对其建立异常检测模型和滥用检测模型。近四五年来又涌现出了一些新的检测方法，它们产生的模型对异常和滥用都适用，如人工免疫方法、遗传算法、数据挖掘等。根据系统所采用的检测模型，将IDS分为三类。 1．异常检测 在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来……

前言：随着IDS（入侵检测系统）在网络环境中的使用越来越普遍，黑客在攻击一个装有IDS的网络时，首先考虑到的是对付IDS，一般采用的反IDS技术主要是攻（攻击IDS）或者避（绕过IDS的监视）。本文根据网上的IDS资料和笔者的实际研究，主要介绍一下当前主要的反NIDS（网络入侵检测系统）技术。一.攻：包括直接攻击和间接攻击1.直接攻击：直接对NIDS进行攻击。因为NIDS是安装在一定的操作系统之上……

第一章 入侵检测系统概念 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级……

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时……

从技术上看，入侵检测系统基本上可分为两类:基于网络(NIDS)和基于主机(HIDS)。本文主要介绍基于主机的入侵检测系统，包括它的主要用途、基本工作原理和方式、优缺点、现状和发展趋势等。HIDS的原理及体系结构主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色，它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断，并把警报信息发送给控制端程序，由管……

目前，针对应用及其后台数据库的应用级入侵已经变得越来越猖獗，如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对数据来源发起攻击。为了对付这类威胁，新一级别的安全脱颖而出，这就是应用安全。这种安全技术将传统的网络和操作系统级入侵探测系统(IDS)概念应用于数据库(即应用)。与通常的网络或操作系统解决方案不同的是，应用IDS提供主动的、针对SQL的保护和监视，……

随着对网络安全需求的深入开发，基于网络的入侵检测技术已经成为一个重要且有意思的研究方向。想学习NIDS技术除了去读一些现成的资料和一些开源系统的源码，最好的办法莫过于自己去写一个NIDS程序，只有那样才能真正体会到一些NIDS的实现需求和设计妙处。 本质上说NIDS只是一种网络流量的分析工具，通过对网络流量的分析识别出一些已知或未知的攻击行为，一个最简单的NIDS完成的主要工作也就是抓包->……

IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。但是，IDS一般所带的特征数据库都比较死板，遇到“变脸”的入侵行为往往相逢不相识。因此，管理员有必要学会如何创建满足实际需要的特征数据样板，做到万变应万变！本文将对入侵特征的概念、种类以及如何创建特征进行介绍，希望能帮助读者尽快掌握对付“变脸”的方法。一、特征（signature）的基本概念……