ids 如何檢測入侵

IDS檢測入侵一般有兩種模式，第一種是實時入侵檢測，是在網絡連接過程中進行，發現入侵跡象立即斷開當前連接，并收集證據和實施數據恢復，第二種是事后檢測，這種是需要通過安全人員進行檢測，常用的檢測技術是信息收集，也就是對系統日志、目錄以及文件的異常改變、程序執行中的異常行為、物理形式的入侵信息進行收集并進行分析。

IDS部署方法有以下這些：

• 共享模式和交換模式：從HUB上的任意一個接口，或者在交換機上做端口鏡像的端口上收集信息；

• 隱蔽模式：在其他模式的基礎上將探測器的探測口IP地址去除,使得IDS在對外界不可見的情況下正常工作；

• Tap模式：以雙向監聽全雙工以太網連接中的網絡通信信息,能捕捉到網絡中的所有流量,能記錄完整的狀態信息使得與防火墻聯動或發送 Reset 包更加容易；

• In-line模式：直接將IDS串接在通信線路中,位于交換機和路由器之間。這種模式可以將威脅通信包丟棄,以實時阻斷網絡攻擊；

• 混合模式：通過監聽所有連接到防火墻的網段,全面了解網絡狀況。

回答所涉及的環境：聯想天逸510S、Windows 10。