入侵檢測系統應具備哪些特點

入侵檢測系統應具備如下的特點：

• 精確地判斷入侵事件：安裝在服務器上的IDS有一個完整的黑客攻擊信息庫，其中存放著各種黑客攻擊行為的特征數據。每當用戶對服務器上的數據進行操作時，IDS就將用戶的操作與信息庫中的數據進行匹配，一旦發現吻合，就認為此項操作為黑客攻擊行為。由于信息庫的內容會不斷升級，因此可以保證新的黑客攻擊方法也能被及時發現。IDS的攻擊識別率可以達到百分之百。

• 可判斷應用層的入侵事件：與防火墻不同，IDS是通過分析數據包的內容來識別黑客入侵行為的。因此，IDS可以判斷出應用層的入侵事件。這樣就極大地提高了判別黑客攻擊行為的準確程度。

• 對入侵可以立即進行反應：IDS以進程的方式運行在服務器上，為系統提供實時的黑客攻擊偵測保護。一旦發現黑客攻擊行為，IDS可以立即做出相應。響應的方法有多種形式，其中包括：報警（如屏幕顯示報警、尋呼機報警）、必要時關閉服務直至切斷鏈路，與此同時，IDS會對攻擊的過程進行詳細記錄，為以后的調查工作提供線索。

• 全方位的監控與保護：防火墻只能隔離來自本網段以外的攻擊行為，而IDS監控的是所有針對服務器的操作，因此它可以識別來自本網段內、其他網段，以及外部網絡的全部攻擊行為。這樣就有效地解決了來自防火墻后由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅。由于IDS對用戶操作進行詳細記錄，系統管理人員可以清楚的了解每個用戶訪問服務器的意圖，及時發現惡意攻擊的企圖，提前采取必要措施。這一切對于有攻擊企圖的人無疑也起到了強大的震懾作用。

• 針對不同操作系統特點：網絡上運行著各種應用，服務器的操作系統平臺也是多種多樣。IDS根據系統平臺的不同進行有針對性的檢驗，從而提高了工作效率，同時也提高了偵測的準確性。網絡系統安裝了IDS后，可以有效的解決來自網絡安全四個層面上的非法攻擊問題，既可以避免來自外部網絡的惡意攻擊，同時也可以加強內部的安全管理，保證主機資源不受來自內部網絡的安全威脅，防范住了防火墻后面的安全漏洞。

• 不允許占用過多的網絡資源，系統啟動后，網絡速度和不啟動時不應有明顯區別。

• 應盡可能與防火墻設備統一管理、統一配置。

回答所涉及的環境：聯想天逸510S、Windows 10。