ids伺服器

1、IDS是什麼軟體

IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

我們做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。
不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：
（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上

2、IDS的流程

（1）入侵檢測的第一步：信息收集
收集的內容包括系統、網路、數據及用戶活動的狀態和行為。收集信息需要在計算機網路系統中不同的關鍵點來進行，這樣一方面可以盡可能擴大檢測范圍，另一方面從幾個信源來的信息的不一致性是可疑行為或入侵的最好標識，因為有時候從一個信源來的信息有可能看不出疑點。
入侵檢測利用的信息一般來自以下四個方面：
1）系統日誌
黑客經常在系統日誌中留下他們的蹤跡，因此，充分利用系統日誌是檢測入侵的必要條件。日誌文件中記錄了各種行為類型，每種類型又包含不同的信息，很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2）目錄以及文件中的異常改變
網路環境中的文件系統包含很多軟體和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。
3）程序執行中的異常行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶啟動的程序和特定目的的應用，例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中，這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解，從而導致運行失敗，或者是以非用戶或非管理員意圖的方式操作。
4）物理形式的入侵信息
這包括兩個方面的內容，一是未授權的對網路硬體連接；二是對物理資源的未授權訪問。
（2）入侵檢測的第二步：數據分析
一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
1）模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測以前從未出現過的黑客攻擊手段。
2）統計分析
統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值如果超過了正常值范圍，就認為有入侵發生。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，這在前面入侵檢測的分類中已經提到。下面只對統計分析的模型做以介紹。
入侵檢測5種統計模型為：
操作模型：該模型假設異常可通過測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統計平均得到，舉例來說，在短時間內多次失敗的登錄很有可能是嘗試口令攻擊；
方差：計算參數的方差並設定其置信區間，當測量值超過置信區間的范圍時表明有可能是異常；
多元模型：即操作模型的擴展，它通過同時分析多個參數實現檢測；
馬爾柯夫過程模型：即將每種類型的事件定義為系統狀態，用狀態轉移矩陣來表示狀態的變化，當一個事件發生時，如果在狀態矩陣中該轉移的概率較小則該可能是異常事件；
時間序列分析：即將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發生的概率較低，則該事件可能是入侵。
統計方法的最大優點是它可以「學習」用戶的使用習慣，從而具有較高檢出率與可用性。但是它的「學習」能力有時也會給入侵者以機會，因為入侵者可以通過逐步「訓練」使入侵事件符合正常操作的統計規律，從而透過入侵檢測系統。
3）完整性分析
完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被修改成類似特洛伊木馬的應用程序方面特別有效。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是有入侵行為導致了文件或其他對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。

3、IDS入侵檢測的詳細介紹

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上入侵檢測系統的原理模型如圖所示。
入侵檢測系統的工作流程大致分為以下幾個步驟：
1.信息收集 入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。
2.信號分析 對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
具體的技術形式如下所述：
1).模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。
2).統計分析
分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。
3).完整性分析
完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。
3.實時記錄、報警或有限度反擊
IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。
經典的入侵檢測系統的部署方式如圖所示：

4、ids入侵檢測系統攔截伺服器埠怎麼辦

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。

5、TRS IDS身份伺服器是什麼意思你弄清楚了嗎？求解答！！！

很輕量級的框架，可以完成各個系統的用戶統一問題，比如你有一個QQ賬號，想在百度登錄，使用TRS IDS就可以幫你搞定這件事情，他將QQ和百度的用戶統一管理，確保一致

6、都有哪些廠家生產ids,ids的主要性能是什麼

信息發布（interactive digital signage）^是一種全新的數字化大眾顯示系統,利用電子屏幕向特定人群傳遞有效信息的平面媒體,傳遞內容可以輕易更改而不用改變硬體設置。
主要應用包含三種：電子價格標簽，商品廣告，公眾顯示信息系統。
針對受用人群信息發布是被動接受平面媒體發布信息，而觸摸查詢是受用人群主動查詢自己希望了解的相關信息。這兩種方式的結合是電子平面媒體今後發展的方向。
互動式觸摸信息顯示系統,以大尺寸顯示為主，加上觸摸屏為人機交互的手段，可以採用4：3的橫放模式（符合人們看電子屏的習慣），也可以採用16：9旋轉90°豎掛模式（符合廣告看板的模式）。大尺寸顯示主要為等離子（PDP）、液晶（LCD）電視, 背投電視, 甚至是LED廣告牌等。
多屏多媒體信息發布系統是以網路、多屏顯示和多媒體技術為基礎，通過WEB界面的應用程序控制計算機向等離子或液晶顯示器發布會議信息、大廈設施介紹、企業介紹、內部通告、緊急信息、天氣預告、航班及車輛到站信息、重大新聞、廣告等信息的系統。居然有日程管理、畫面分割、信息插播、遠程式控制制等功能。通過系統的軟體管理平台，使用者可以輕松的製作出內容豐富，頁面艷麗的動態信息公告畫面，及時地將信息傳遞給相關人員，極大地提高了使用者企業的信息化管理水平，符合了信息時代的潮流，提高了服務的質量。

多屏多媒體信息發布系統從整體上可分為硬體和軟體兩個部分。

一、IDS多屏多媒體信息發布系統硬體組成
1、 信息發布系統組成：信息發布伺服器，等離子/液晶顯示器，VGA/雙絞線延長器，CAT5E網
線，VGA顯示線，220V電源。
2、 顯示端位置擺放：顯示器安裝在客人矚目的位置，為了讓顯示端與大廈裝修風格融為一體，最
好製作外觀與牆體一致的裝飾門，並裝有門鎖，已備安全管理。
3、 建議安裝位置：大堂、大堂前台、大堂客梯入口、宴會廳入口、會議廳等。
4、 布線簡單：每個顯示器處應布一根獨立的CAT5E雙絞線，一根VGA顯示線，2個220V電源插
座。
5、 工作原理：支持區域網連接環境，通過WEB遠程式控制制，畫面可分割顯示，一機多屏（顯示不
同內容），支持播放數字內容通用格式（PPT、JPG、GIF、Flash等），可預先設定播放內容
和播放日程，輕松製作，輕松管理。

二、IDS多屏多媒體信息發布系統軟體功能
1、 發布信息格式：靜態（BMP/JPEG/GIF/PPT）等，動態（MPEG2/MPEG/AVI/FLASH）
等。
2、 通過區域網/廣域網等方式接入終端進行信息發布和控制管理，並可以對一機多屏顯示的任意
一個顯示單元進行編輯，真正實現遠程網路控制。
3、 每一個顯示單元可以播放不同內容或格式的信息，並可根據需要，按時間先後順序進行編排，
一旦確認以後，系統會根據排程自動播放，信息播放系統支持12個月播放計劃。
4、 在遇到緊急信息時，系統支持插播模式，可隨時隨地將特殊信息按照要求插播在指定位置。
5、 每個顯示屏幕可進行分割顯示，除顯示主要內容外可添加天氣預報，時事快報或者廣告模塊。
6、 信息發布系統在操作上採用分級管理，對操作人員每次進行的操作有詳細的日誌記錄。
7、 操作界面人性化，操作簡便，非專業人員經過簡單的培訓即可掌控。
8、 顯示單元上若安裝有觸摸屏，可形成互動式的信息發布和查詢，用戶無需添置觸摸查詢設備，
便可在信息發布顯示單元上進行信息查詢。

三、IDS多屏多媒體信息發布系統拓撲圖

四、IDS多屏多媒體信息發布系統顯示單元在工程中的主要模式

五、IDS多屏多媒體信息發布系統應用領域
1、 酒店、度假村、會議中心：發布會議信息、酒店設施介紹、服務指南、商業活動要
聞、天氣預報、旅遊向導、景點介紹。
2、 企業和國家機關辦公大廈：公共信息、企業介紹、內部通告、會議引導、緊急信息、
迎賓致詞等。
3、 政府機構：政策法規宣傳，部門職能及位置介紹，政府服務項目、緊急通告、會議
息、安全保衛、預約等候信息。
4、 會展現場：博物館、展覽館、體育館、劇場、藝術中心的信息展示形成電子展板、節
目賽事公告、影訊比賽海報、失物招領信息，找人信息。
5、 學校：教學信息發布、校園通告、教室安排提示、學習班時間安排、分數查詢、優秀
作文選登、各種園地展示。
6、 交通樞紐：航班及車輛到站信息、車次時間表、車站服務項目、天氣預報、出行安全
知識介、站名、登機口信息。
7、 窗口行業：窗口辦理業務、值班人員信息介紹、辦理手續導航、業務常識介紹、排隊
信息、廣告宣傳。
8、 商場和店鋪：店鋪宣傳、產品介紹、促銷特賣、新品宣傳、廠家介紹、促銷活動排抽
獎須 知、獎品介紹。
六、成功案例圖片

7、什麼是IDS，在網路中起什麼作有？怎樣安裝和配置？

什麼是IDS呢？早期的IDS僅僅是一個監聽系統，在這里，你可以把監聽理解成竊聽的意思。基於目前局網的工作方式，IDS可以將用戶對位於與IDS同一交換機/HuB的伺服器的訪問、操作全部記錄下來以供分析使用，跟我們常用的widnows操作系統的事件查看器類似。再後來，由於IDS的記錄太多了，所以新一代的IDS提供了將記錄的數據進行分析，僅僅列出有危險的一部分記錄，這一點上跟目前windows所用的策略審核上很象；目前新一代的IDS，更是增加了分析應用層數據的功能，使得其能力大大增加；而更新一代的IDS，就頗有「路見不平，拔刀相助」的味道了，配合上防火牆進行聯動，將IDS分析出有敵意的地址阻止其訪問。

就如理論與實際的區別一樣，IDS雖然具有上面所說的眾多特性，但在實際的使用中，目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的數據流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發阻斷數據包來阻斷當前行為，並且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設置好的，無法動態設置策略，缺少針對攻擊的必要的靈活性，不能更好的保護網路的安全，所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件，從而使網路隱患降至較低限度。

8、防火牆、IDS和IPS之間有什麼區別?

二者區別主要有以下幾點：

一、概念不同

1、IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，通過軟、硬體，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

2、入侵防禦系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

二、系統類型劃分不同

1、IDS按入侵檢測的技術基礎可分為兩類：

一種基於標志的入侵檢測（signature-based），另一種是基於異常情況的入侵檢測（anomaly-based）。

2、IPS按其用途劃分為單機入侵預防系統(HIPS)和網路入侵預防系統(NIPS: Network Intrusion Prevension System）兩種類型。

三、防禦技術不完全相同

1、IDS實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。

2、IPS入侵預防系統知道正常數據以及數據之間關系的通常的樣子，可以對照識別異常。有些入侵預防系統結合協議異常、傳輸異常和特徵偵查，對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。

9、IDS有許多不同類型的，都指哪些？求大神幫助

IDS分類 IDS有許多不同類型的，以下分別列出： ●IDS分類1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS，雖然在默認狀態下並不針對應用程序，但也可以經過訓練，應用於應用程序。例如，KSE（一個基於主機的IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。 ●IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分布式IDS代理需要向中心控制台報告信息。現在的許多中心控制台還可以接收其它來源的數據，如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台，並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。 ●IDS分類3－File Integrity Checkers（文件完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要（加密的雜亂信號），就可以定時地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來，是「事後諸葛亮」，最近出現的許多產品能在文件被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。 ●IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。 ●IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。現在，基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。 ●IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，默認狀態下的交換網路不允許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。 ●IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是近來它們變得更加智能化，可以破譯協議並維護狀態。NIDS存在基於應用程序的產品，只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。 ●IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路信息包，而且交換網路經常會防礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連接做分析。例如，不像在許多個人防火牆上發現的「試圖連接到埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。 ●IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連接，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。 ●IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是文件完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。