貴重的物品需要完善的保護以免遭到偷竊與破壞的情況發生,有些家庭裝設了警報系統, 當發生強行闖入時,可以偵測到竊賊並且通知有關單位前來處理,甚至可以在家裡發生 火災時通知該家的主人。 為了要確保住屋的完整性與家庭成員的安全,以上措施是必要的。
同樣的完整性與安全性保證也應該要應用到電腦系統與資料上,網際網路已經促進 泛從個人到財務等資訊的流通,在這同時它也造就了許多危險性的存在。 懷有惡意 的使用者與怪客們都想辦法在尋找較脆弱的目標,例如未安裝更新程式的系統、暗藏 木馬程式的系統以及執行非安全服務的網路環境。 當發生系統入侵時,便需要警報系統 來知會系統管理員以及保全小組成員,以使得他們可以即時回應對系統的威脅。 『系統入侵偵測系統』就是設計來當作這樣的警示系統。
一個系統入侵偵測系統(IDS)是一個主動的程序或裝置,以用來分析發生未經授權之登入或惡意行為的系統與網路狀況。 IDS 用來偵測不正常狀況的方式有很大的不同, 然而任何 IDS 的最終目標還是要在兇手對您的資源從事真正的破壞之前,便可以抓到他們。
IDS 可以保護一部系統以免遭受攻擊、誤用以及入侵,它也可以監控網路的狀況、查核網路與系統組態設定中的弱點以及分析資料的完整性等等。 取決於您所選擇的偵測方式,使用 IDS 有許多種直接與附帶性的好處存在。
了解什麼是 IDS 以及它所提供的功能是用來決定含括何種類型的 IDS 到您電腦安全性 方針的關鍵,這個章節將討論 IDS 背後的觀念、每一種 IDS 類型的功能性以及混合性 IDS 的面世(含括許多種偵測技術以及工具在一個套件中)。
知識型(knowledge-based) 的 IDS 會依照資料庫內所記載的攻擊方式,比對現有狀況,當攻擊發生時就會提早警告管理者。行為型(behavioral-based) 的 IDS 則會追蹤所有資源使用狀況,看看有沒有反常的地方,因為這多半是惡意攻擊的先兆。有些 IDS 只是獨立的系統服務,靜靜地在背景中聆聽所有活動,紀錄所有外來的可疑封包。其他的 IDS 結合了標準系統工具、修改過的設定、完整的紀錄檔、加上管理者的直覺與經驗,組合成一套完善而強大的入侵偵測系統。仔細評估多種入侵偵測技巧,您可以找出最適合您組織的方案。
在安全領域中,最常見的 IDS 則是 主機型(host-based) 與 網路型(network-based)。前者比較複雜,管理者必須在每台電腦上裝設偵測系統。不管主機位於那種網路環境中,都會受到保護。後者則是讓所有封包經過同一個地方,再轉送到其他系統上。網路型的 IDS 就沒有主機型的慎密,因為在行動工作環境中,封包過濾與保護的可靠度,就是項不可能的任務。