在网络中部署入侵检测系统可以完全杜绝网络攻击的发生对吗？

入侵检测系统叫IPS（Intrusion Prevention System)，它的作用不是杜绝网络攻击行为，而是防范网络攻击行为和检测流量是否为正常的访问流量，如果流量是恶意流量就可以通过阻断策略不让流量正常通过。另外没有设备可以杜绝网络攻击，除非你不联网，但是内网如果有U盘或者PC有病毒或者有人通过内网攻击一样是可以的。

如果完全杜绝网络攻击行为，需要把网卡驱动禁用，明显这不是有效解决方案。所以在安全厂商方案中有边界防御和流量清洗、DDOS、防火墙、WAF、上网行为管理（ASG）等多种设备才保证设备在接入网络环境后的网络安全

什么是入侵检测?

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统

入侵检测技术的分类：

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1 ．特征检测：

特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2 ．异常检测：

异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

入侵检测系统的工作步骤

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

信息收集

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

1.系统和网络日志文件

黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息

这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫，如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件。依此，黑客就可以知道网上的由用户加上去的不安全（未授权）设备，然后利用这些设备访问网络。例如，用户在家里可能安装Modem以访问远程办公室，与此同时黑客正在利用自动工具来识别在公共电话线上的Modem，如果一拨号访问流量经过了这些自动工具，那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网，从而越过了内部网络原有的防护措施，然后捕获网络流量，进而攻击其它系统，并偷取敏感的私有信息等等。

信号分析

对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

1. 模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

2.统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

3.完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

入侵检测系统典型代表

入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而最大程度地为企业网络提供安全。

入侵检测功能

·监督并分析用户和系统的活动

·检查系统配置和漏洞

·检查关键系统和数据文件的完整性

·识别代表已知攻击的活动模式

·对反常行为模式的统计分析

·对操作系统的校验管理，判断是否有破坏安全的用户活动。

·入侵检测系统和漏洞评估工具的优点在于：

·提高了信息安全体系其它部分的完整性

·提高了系统的监察能力

·跟踪用户从进入到退出的所有活动或影响

·识别并报告数据文件的改动

·发现系统配置的错误，必要时予以更正

·识别特定类型的攻击，并向相应人员报警，以作出防御反应

·可使系统管理人员最新的版本升级添加到程序中

·允许非专家人员从事系统安全工作

·为信息安全策略的创建提供指导

·必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制

·在无人干预的情况下，无法执行对攻击的检查

·无法感知公司安全策略的内容

·不能弥补网络协议的漏洞

·不能弥补由于系统提供信息的质量或完整性的问题

·它们不能分析网络繁忙时所有事务

·它们不能总是对数据包级的攻击进行处理

·它们不能应付现代网络的硬件及特性

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究

什么叫做入侵检测?入侵检测系统的基本功能是什么?

入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他提出了IDS的概念。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。 我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在： （1）尽可能靠近攻击源 （ 2）尽可能靠近受保护资源 这些位置通常是： ·服务器区域的交换机上 ·Internet接入路由器之后的第一台交换机上 ·重点保护网段的局域网交换机上 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。Venustech(启明星辰）、Internet Security System（ISS）、思科、赛门铁克等公司都推出了自己的产品。系统分类根据检测对象的不同，入侵检测系统可分为主机型和网络型。

如何防止自己的网站和域名受到黑客的攻击？

当我们发现网站被攻击的时候不要过度惊慌失措，先查看一下网站服务器是不是被黑了，找出网站存在的黑链，然后做好网站的安全防御，具体操作分为三步

1、开启IP禁PING，可以防止被扫描。

2、关闭不需要的端口。

3、打开网站的防火墙。

这些是只能防简单的攻击，如果你觉得太麻烦那可以搜索(红盾 免费对抗攻击)，在被攻击时，找上面的技术员，那里有免费帮你对抗攻击的服务。

还有可以尝试一下以下方法：

1、使用TTCDN不需要应用做任何修改，只需要网站的DNS设置就可以了，将域名对应的A记录删除，添加TTCDN提供的cname记录。

2、隐藏源站服务器IP保证源站服务器IP不会暴露在公网上，使攻击者无法攻击源站服务器，网站更安全。

3、多个防御节点帮助网站防御攻击，集群抗攻击 广泛分布的CDN节点加上节点之间的智能冗余机制，可以有效地预防黑客入侵以及降低各种DDoS攻击对网站的影响。

望采纳，谢谢

入侵检测系统是如何工作的？

入侵检测系统用于检测系统异常，目的是想在黑客对网络还没有造成实质损害时捕获他们。这种系统可以是基于网络的也可以是基于主机的。基于主机的入侵检测系统安装在客机上，而基于网络的入侵检测系统位于网络上 入侵检测系统的工作是寻找已知攻击的签名以及违反常规的活动。这些异常被压入堆栈，在协议层和应用层进行检测。入侵检测系统可以有效的检测出如“圣诞树”扫描，域中毒以及畸形信息包等。 SNOPT是一个不错的基于网络的检测系统，它是免费的可以运行于Linux和Windows两种系统。安装一个简单方法是开辟一个端口，并允许该端口获取所有穿过该节点的信息。把SNOPT安装在你选择的系统上，然后通过“只接收”网线把它连入网络。完成对它的规则设置后就可以使用了！

入侵检测系统的优缺点有哪些?

入侵检测系统的优点：

1.能够使现有的安防体系更完善。

2.能够更好地掌握系统的情况。

3.能够追踪攻击者的攻击线路。

4.界面友好，便于建立安防体系。

5.能够抓住肇事者。

入侵检测系统的缺点：

1. 不能够在没有用户参与的情况下对攻击行为展开调查。

2. 不能够在没有用户参与的情况下阻止攻击行为的发生。

3. 不能克服网络协议方面的缺陷。

4.不能克服设计原理方面的缺陷。

5. 响应不够及时，签名数据库更新得不够快。

6.经常是事后才检测到，适时性不好。

安全生产入侵监测预警系统解决什么样的问题？

入侵检测系统将有效地提升黑客进入网络系统的门槛，入侵监测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取；在发现入侵企图之后提供必要的信息，帮助系统的移植，入侵检测系统工具方面，基于主机与基于网络两条腿并行，在基于主机方面，ITA入侵检测系统中唯一基于规则的、实时的、集中管理的主机监测系统，它可以在网络边界和网络内部检查和响应来自外界的攻击和可疑行为，从功能上看，它可以探测出潜在的危险--包括审计日志外不正常的"印迹"，并且根据安全管理员设定的规则，还可以对这些"印迹"进行分类并作出相应的反击响应，在主动安全防护方面，它提供了动态、实时、透明的网络IDS，能记录日志，同时可中断内部不满者和外部黑客的非授权使用、误用和滥用，可以帮助企业避免内部、远程、乃至授权用户所进行的网络探测、系统误用及其它恶意行为。