2 IPS与IDS分析

2.1 IDS的原理

入侵检测系统IDS有三个部分组成，分别是信息的收集、处理和响应。响应又分为主动响应和被动响应两种。IDS对netflow数据包首先进行数据的收集，能针对不同的网段、系统或者用户进行缜密的数据统计和分析，然后捕获这些数据中含有恶意攻击或者对网络安全性有危害的内容，记录到网络日志文件syslog中，可作为日后溯源或舆情分析的主要依据。在发生攻击事态时，主动响应主要是终止与攻击者之间的网络链接，而被动响应则仅是记录这个过程，然后联动防火墙或是其他网络安全设备对其进行过滤和拦截。与此同时，IDS会向管理者发出入侵警告，提醒网络管理员网络目前正遭到黑客攻击。所以IDS可以有效地帮助管理者处理简单的网络攻击，并实时查看和管理网络的安全情况。

另外，IDS支持许多种类的远程告警方法，但是这些告警方法都是单向的，用户只能被动收到信息，并不能及时主动去远程控制网络引擎，阻止事态的继续发生。作为入侵防御的重要的环节，IDS做出了很多的贡献