为什么有了防火墙还要IDS，他们功能有什么不不同？

防火墙是一种访问控制类产品，主要用于隔离内外网或不同安全域，过滤网络流量，只允许符合规则的数据包通过。IDS是一种审计类产品，主要用于监视网络流量，检测已知或未知的攻击行为，并及时产生警报。

防火墙通常采用串行接入，部署在网络边界；IDS通常采用旁路接入，部署在网络内部。

IDS（入侵检测系统）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以保护网络系统资源的机密性、完整性和可用性。使用IDS的原因是因为防火墙等其他网络安全设备不能完全阻止所有的攻击，IDS可以提供更积极主动的安全防护技术。

防火墙是一种被动的防御而入侵防御系统是主动出击，去寻找潜在的攻击者；防火墙受到区域的各种限制，而入侵防御系统不受范围的限制。
防火墙是以防御功能为主，通过防火墙的数据不进行任何的操作；入侵防御系统可以进行实时的检测，发现入侵网络安全行为做出相应的保护措施，入侵防御系统可以对防火墙的弱点进行修补。

简单来说，IDS是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术，是防火墙之后的第二道安全闸门

IDS的任务
1.信息收集
包括收集用户在网络，系统，数据库等活动中的状态和行为
2.信息分析
一是通过模式匹配将收集到的信息与已有的特征数据库进行比较发现入侵
二是通过统计分析建立系统正常运行的行为轨迹，将与正常轨迹不同的系统状态视为可疑的入侵企图，需要使用入侵检测统计模型
这俩方法好像在网络安全中常用，要熟记

目前主要的漏洞

1. 缓冲区溢出

1. 拒绝服务攻击漏洞

1. 代码泄漏、信息泄漏漏洞

1. 配置修改、系统修改漏洞

1. 脚本执行漏洞

1. 远程命令执行漏洞

1. 其它类型的漏洞

入侵的大致流程

1. 目标探测和信息收集

1. 自身隐藏

1. 利用漏洞侵入主机

1. 稳固和扩大战果

1. 清除日志

入侵检测的步骤

信息收集

数据分析

响应（主动响应+被动响应）

入侵检测

入侵检测是一种网络安全技术，它通过监视和分析网络流量，寻找入侵迹象，例如对系统的攻击或企图

入侵检测的分类

根据审计对象的不同，可分为基于网络的IDS、基于主机的IDS和基于网络/主机混合型IDS。

根据检测技术可分为误用检测和异常检测两类。

根据系统的体系结构可以分为集中式、等级式和协作式入侵检测系统。

根据工作方式可以分为离线检测和实时检测。

基于主机系统结构HIDS

检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上

基于网络系统结构NIDS

根据网络流量、协议分析、单台或多台主机的审计数据检测入侵

一种特殊的NIDS：蜜罐技术
蜜罐是一个吸引潜在攻击者的陷阱，蜜罐技术可以帮助防御方研究攻击者的攻击目的、方法和工具，并有针对性地增强目标系统的安全防护能力。
目的：收集和分析现有威胁的信息（知道攻击者想怎么攻击我们的系统）
使用蜜罐技术可以大大减少所要分析的数据量，但大部分安全收到威胁的系统会被黑客用来攻击其他系统
在此解释一下：蜜罐技术虽然可以用来欺骗和捕捉攻击者，但也有可能被攻击者利用来对其他系统造成威胁。例如，攻击者可以通过蜜罐获取其他系统的信息或权限，或者利用蜜罐作为跳板或隐蔽点，从而对其他系统进行更深入或更隐秘的攻击。这就需要管理员对蜜罐系统进行严格的监控和维护，防止被攻击者反噬。

NIDS和HIDS的区别是什么？
1. NIDS是基于网络的入侵检测系统，它通过 监测网络流量来发现和分析入侵行为。HIDS是基于主机的入侵检测系统，它通过 监控主机的事件和系统调用来发现和分析入侵行为。
2. NIDS可以覆盖整个网络，对网络中的所有主机提供保护。HIDS只能保护安装了探头（代理）的主机，对其他主机无效。
3. NIDS可以检测到网络层和传输层的攻击，如SYN洪水、IP碎片等。HIDS可以检测到应用层和系统层的攻击，如缓冲区溢出、木马程序等。
4. NIDS由于需要处理大量的网络流量，可能会造成性能下降、丢包或误报。HIDS由于需要安装在每台主机上，可能会增加管理成本、占用资源或影响正常操作。

基于分布式系统的结构DIDS

可以在多个节点上部署不同的检测模块，相互协作来监视网络传输，发现可疑的行为或者攻击，并及时报警或者采取反应措施

它是一种结合了基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）的技术，可以在不同的主机和网络上部署多个检测器，通过一个中心控制器协调和分析各个检测器的数据，从而发现更多的入侵行为。

既能检测网络入侵行为，又能检测主机入侵行为。

入侵检测结构

入侵检测结构是指入侵检测系统的组成部分和功能模块

CIDF

入侵检测技术框架（CIDF）是一套定义了入侵检测系统（IDS）表达检测信息的标准语言和通信协议的规范

CIDF由事件产生器、事件分析器、响应单元和事件数据库组成。

CIDF组件之间通过通用入侵检测对象（GIDO）交换数据，GIDO可以表示事件、结论或指令。

事件产生器：从计算环境中获取事件，并提供给其他部分。
事件分析器：分析事件数据，发现危险或异常行为，并通知响应单元。
响应单元：对分析结果作出反应，如警告、阻断或隔离。
事件数据库：存储各种中间和最终数据，如日志、规则或报告。

攻击分析与攻击检测 —— 入侵检测技术

异常检测技术

入侵检测技术中异常检测技术是指通过统计分析系统或网络的正常行为，建立一个行为轮廓，然后将实际的行为与轮廓进行比较，发现与正常行为相差较大的情况，认为是入侵的迹象。异常检测技术可以检测未知的攻击，但也有一定的误报率。

异常检测技术有很多方法，主要可以分为基于统计学的方法和基于机器学习的方法。基于统计学的方法是通过建立一个生成模型来拟合数据集，然后找出低概率区域中的点作为异常点。基于机器学习的方法是通过训练一个分类器或者聚类器来划分数据集，然后找出与正常类别不同或者离群的点作为异常点。

误用检测技术

入侵检测技术中误用检测技术是指通过预先定义好的入侵模式或特征，将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现网络攻击行为的一种技术。误用检测技术的优点是检测准确度高，技术相对成熟，但缺点是难以检测未知或新的入侵行为，维护特征库的工作量巨大。

比如可以用：专家系统，模型推理，状态转换分析，

入侵检测部署

入侵检测部署是指在网络或计算机系统中安装和配置入侵检测系统（IDS）的过程