ids服务器

1、IDS是什么软件

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。
不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：
（1）尽可能靠近攻击源
（2）尽可能靠近受保护资源
这些位置通常是：
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上

2、IDS的流程

（1）入侵检测的第一步：信息收集
收集的内容包括系统、网络、数据及用户活动的状态和行为。收集信息需要在计算机网络系统中不同的关键点来进行，这样一方面可以尽可能扩大检测范围，另一方面从几个信源来的信息的不一致性是可疑行为或入侵的最好标识，因为有时候从一个信源来的信息有可能看不出疑点。
入侵检测利用的信息一般来自以下四个方面：
1）系统日志
黑客经常在系统日志中留下他们的踪迹，因此，充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型，每种类型又包含不同的信息，很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2）目录以及文件中的异常改变
网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。
3）程序执行中的异常行为
网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致运行失败，或者是以非用户或非管理员意图的方式操作。
4）物理形式的入侵信息
这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。
（2）入侵检测的第二步：数据分析
一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。
1）模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测以前从未出现过的黑客攻击手段。
2）统计分析
统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值如果超过了正常值范围，就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，这在前面入侵检测的分类中已经提到。下面只对统计分析的模型做以介绍。
入侵检测5种统计模型为：
操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内多次失败的登录很有可能是尝试口令攻击；
方差：计算参数的方差并设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；
多元模型：即操作模型的扩展，它通过同时分析多个参数实现检测；
马尔柯夫过程模型：即将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，如果在状态矩阵中该转移的概率较小则该可能是异常事件；
时间序列分析：即将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力有时也会给入侵者以机会，因为入侵者可以通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。
3）完整性分析
完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被修改成类似特洛伊木马的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是有入侵行为导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。

3、IDS入侵检测的详细介绍

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：（1）尽可能靠近攻击源
（2）尽可能靠近受保护资源
这些位置通常是：
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上入侵检测系统的原理模型如图所示。
入侵检测系统的工作流程大致分为以下几个步骤：
1.信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。
2.信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。
具体的技术形式如下所述：
1).模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。
2).统计分析
分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。
3).完整性分析
完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。这种方式主要应用于基于主机的入侵检测系统（HIDS）。
3.实时记录、报警或有限度反击
IDS根本的任务是要对入侵行为做出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源。
经典的入侵检测系统的部署方式如图所示：

4、ids入侵检测系统拦截服务器端口怎么办

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

5、TRS IDS身份服务器是什么意思你弄清楚了吗？求解答！！！

很轻量级的框架，可以完成各个系统的用户统一问题，比如你有一个QQ账号，想在百度登录，使用TRS IDS就可以帮你搞定这件事情，他将QQ和百度的用户统一管理，确保一致

6、都有哪些厂家生产ids,ids的主要性能是什么

信息发布（interactive digital signage）^是一种全新的数字化大众显示系统,利用电子屏幕向特定人群传递有效信息的平面媒体,传递内容可以轻易更改而不用改变硬件设置。
主要应用包含三种：电子价格标签，商品广告，公众显示信息系统。
针对受用人群信息发布是被动接受平面媒体发布信息，而触摸查询是受用人群主动查询自己希望了解的相关信息。这两种方式的结合是电子平面媒体今后发展的方向。
交互式触摸信息显示系统,以大尺寸显示为主，加上触摸屏为人机交互的手段，可以采用4：3的横放模式（符合人们看电子屏的习惯），也可以采用16：9旋转90°竖挂模式（符合广告看板的模式）。大尺寸显示主要为等离子（PDP）、液晶（LCD）电视, 背投电视, 甚至是LED广告牌等。
多屏多媒体信息发布系统是以网络、多屏显示和多媒体技术为基础，通过WEB界面的应用程序控制计算机向等离子或液晶显示器发布会议信息、大厦设施介绍、企业介绍、内部通告、紧急信息、天气预告、航班及车辆到站信息、重大新闻、广告等信息的系统。居然有日程管理、画面分割、信息插播、远程控制等功能。通过系统的软件管理平台，使用者可以轻松的制作出内容丰富，页面艳丽的动态信息公告画面，及时地将信息传递给相关人员，极大地提高了使用者企业的信息化管理水平，符合了信息时代的潮流，提高了服务的质量。

多屏多媒体信息发布系统从整体上可分为硬件和软件两个部分。

一、IDS多屏多媒体信息发布系统硬件组成
1、 信息发布系统组成：信息发布服务器，等离子/液晶显示器，VGA/双绞线延长器，CAT5E网
线，VGA显示线，220V电源。
2、 显示端位置摆放：显示器安装在客人瞩目的位置，为了让显示端与大厦装修风格融为一体，最
好制作外观与墙体一致的装饰门，并装有门锁，已备安全管理。
3、 建议安装位置：大堂、大堂前台、大堂客梯入口、宴会厅入口、会议厅等。
4、 布线简单：每个显示器处应布一根独立的CAT5E双绞线，一根VGA显示线，2个220V电源插
座。
5、 工作原理：支持局域网连接环境，通过WEB远程控制，画面可分割显示，一机多屏（显示不
同内容），支持播放数字内容通用格式（PPT、JPG、GIF、Flash等），可预先设定播放内容
和播放日程，轻松制作，轻松管理。

二、IDS多屏多媒体信息发布系统软件功能
1、 发布信息格式：静态（BMP/JPEG/GIF/PPT）等，动态（MPEG2/MPEG/AVI/FLASH）
等。
2、 通过局域网/广域网等方式接入终端进行信息发布和控制管理，并可以对一机多屏显示的任意
一个显示单元进行编辑，真正实现远程网络控制。
3、 每一个显示单元可以播放不同内容或格式的信息，并可根据需要，按时间先后顺序进行编排，
一旦确认以后，系统会根据排程自动播放，信息播放系统支持12个月播放计划。
4、 在遇到紧急信息时，系统支持插播模式，可随时随地将特殊信息按照要求插播在指定位置。
5、 每个显示屏幕可进行分割显示，除显示主要内容外可添加天气预报，时事快报或者广告模块。
6、 信息发布系统在操作上采用分级管理，对操作人员每次进行的操作有详细的日志记录。
7、 操作界面人性化，操作简便，非专业人员经过简单的培训即可掌控。
8、 显示单元上若安装有触摸屏，可形成交互式的信息发布和查询，用户无需添置触摸查询设备，
便可在信息发布显示单元上进行信息查询。

三、IDS多屏多媒体信息发布系统拓扑图

四、IDS多屏多媒体信息发布系统显示单元在工程中的主要模式

五、IDS多屏多媒体信息发布系统应用领域
1、 酒店、度假村、会议中心：发布会议信息、酒店设施介绍、服务指南、商业活动要
闻、天气预报、旅游向导、景点介绍。
2、 企业和国家机关办公大厦：公共信息、企业介绍、内部通告、会议引导、紧急信息、
迎宾致词等。
3、 政府机构：政策法规宣传，部门职能及位置介绍，政府服务项目、紧急通告、会议
息、安全保卫、预约等候信息。
4、 会展现场：博物馆、展览馆、体育馆、剧场、艺术中心的信息展示形成电子展板、节
目赛事公告、影讯比赛海报、失物招领信息，找人信息。
5、 学校：教学信息发布、校园通告、教室安排提示、学习班时间安排、分数查询、优秀
作文选登、各种园地展示。
6、 交通枢纽：航班及车辆到站信息、车次时间表、车站服务项目、天气预报、出行安全
知识介、站名、登机口信息。
7、 窗口行业：窗口办理业务、值班人员信息介绍、办理手续导航、业务常识介绍、排队
信息、广告宣传。
8、 商场和店铺：店铺宣传、产品介绍、促销特卖、新品宣传、厂家介绍、促销活动排抽
奖须 知、奖品介绍。
六、成功案例图片

7、什么是IDS，在网络中起什么作有？怎样安装和配置？

什么是IDS呢？早期的IDS仅仅是一个监听系统，在这里，你可以把监听理解成窃听的意思。基于目前局网的工作方式，IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用，跟我们常用的widnows操作系统的事件查看器类似。再后来，由于IDS的记录太多了，所以新一代的IDS提供了将记录的数据进行分析，仅仅列出有危险的一部分记录，这一点上跟目前windows所用的策略审核上很象；目前新一代的IDS，更是增加了分析应用层数据的功能，使得其能力大大增加；而更新一代的IDS，就颇有“路见不平，拔刀相助”的味道了，配合上防火墙进行联动，将IDS分析出有敌意的地址阻止其访问。

就如理论与实际的区别一样，IDS虽然具有上面所说的众多特性，但在实际的使用中，目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流，所以这就限制了IDS本身的阻断功能，IDS只有靠发阻断数据包来阻断当前行为，并且IDS的阻断范围也很小，只能阻断建立在TCP基础之上的一些行为，如Telnet、FTP、HTTP等，而对于一些建立在UDP基础之上就无能为力了。因为防火墙的策略都是事先设置好的，无法动态设置策略，缺少针对攻击的必要的灵活性，不能更好的保护网络的安全，所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度。

8、防火墙、IDS和IPS之间有什么区别?

二者区别主要有以下几点：

一、概念不同

1、IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

2、入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

二、系统类型划分不同

1、IDS按入侵检测的技术基础可分为两类：

一种基于标志的入侵检测（signature-based），另一种是基于异常情况的入侵检测（anomaly-based）。

2、IPS按其用途划分为单机入侵预防系统(HIPS)和网路入侵预防系统(NIPS: Network Intrusion Prevension System）两种类型。

三、防御技术不完全相同

1、IDS实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。

2、IPS入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防火墙进入网路内部的有害代码实行有效阻止。

9、IDS有许多不同类型的，都指哪些？求大神帮助

IDS分类 IDS有许多不同类型的，以下分别列出： ●IDS分类1－Application IDS（应用程序IDS）：应用程序IDS为一些特殊的应用程序发现入侵信号，这些应用程序通常是指那些比较易受攻击的应用程序，如Web服务器、数据库等。有许多原本着眼于操作系统的基于主机的IDS，虽然在默认状态下并不针对应用程序，但也可以经过训练，应用于应用程序。例如，KSE（一个基于主机的IDS）可以告诉我们在事件日志中正在进行的一切，包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。 ●IDS分类2－Consoles IDS（控制台IDS）：为了使IDS适用于协同环境，分布式IDS代理需要向中心控制台报告信息。现在的许多中心控制台还可以接收其它来源的数据，如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台，并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。 ●IDS分类3－File Integrity Checkers（文件完整性检查器）：当一个系统受到攻击者的威胁时，它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要（加密的杂乱信号），就可以定时地检查文件，查看它们是否被改变，这样就在某种程度上提供了保证。一旦检测到了这样一个变化，完整性检查器就会发出一个警报。而且，当一个系统已经受到攻击后，系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来，是“事后诸葛亮”，最近出现的许多产品能在文件被访问的同时就进行检查，可以看做是实时IDS产品了。该类产品有Tripwire和Intact。 ●IDS分类4－Honeypots（蜜罐）：关于蜜罐，前面已经介绍过。蜜罐的例子包括Mantrap和Sting。 ●IDS分类5－Host-based IDS（基于主机的IDS）：这类IDS对多种来源的系统和事件日志进行监控，发现可疑活动。基于主机的IDS也叫做主机IDS，最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能，主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的，系统的错误就可以很快地检测出来，技术人员和安全人士都非常喜欢它。现在，基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。 ●IDS分类6－Hybrid IDS（混合IDS）：现代交换网络的结构给入侵检测操作带来了一些问题。首先，默认状态下的交换网络不允许网卡以混杂模式工作，这使传统网络IDS的安装非常困难。其次，很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS（混合IDS）正是解决这些问题的一个方案，它将IDS提升了一个层次，组合了网络节点IDS和Host IDS（主机IDS）。虽然这种解决方案覆盖面极大，但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS，实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。 ●IDS分类7－Network IDS（NIDS，网络IDS）：NIDS对所有流经监测代理的网络通信量进行监控，对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器，但是近来它们变得更加智能化，可以破译协议并维护状态。NIDS存在基于应用程序的产品，只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析，但是在网络高负载下，还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。 ●IDS分类8－Network Node IDS（NNIDS，网络节点IDS）：有些网络IDS在高速下是不可靠的，装载之后它们会丢弃很高比例的网络信息包，而且交换网络经常会防碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机，从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似，但它们之间还有区别。对于被归类为NNIDS的个人防火墙，应该对企图的连接做分析。例如，不像在许多个人防火墙上发现的“试图连接到端口xxx”，一个NNIDS会对任何的探测都做特征分析。另外，NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。 ●IDS分类9－Personal Firewall（个人防火墙）：个人防火墙安装在单独的系统中，防止不受欢迎的连接，无论是进来的还是出去的，从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。 ●IDS分类10－Target-Based IDS（基于目标的IDS）：这是不明确的IDS术语中的一个，对不同的人有不同的意义。可能的一个定义是文件完整性检查器，而另一个定义则是网络IDS，后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度，因为它不搜寻那些不必要的攻击。