IDS，ids是什么意思？

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS最早出现在1980年4月。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

1、从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、经过分析得到数据，并产生分析结果。

3、对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

IDS系统缺陷

1998年2月，Secure Networks Inc.指出IDS有许多弱点，主要为：IDS对数据的检测；对IDS自身攻击的防护。由于当代网络发展迅速，网络传输速率大大加快，这造成了IDS工作的很大负担，也意味着IDS对攻击活动检测的可靠性不高。

而IDS在应对自身的攻击时，对其他传输的检测也会被抑制。同时由于模式识别技术的不完善，IDS的高虚警率也是它的一大问题。

IDS是入侵检测系统。

（1）基于主机的IDS保护的是其所在的系统，运行在其所监视的系统之上；

（2）基于网络的IDS保护的是整个网段，部署于全部流量都要经过的某台设备上。

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

扩展资料：

按输入入侵检测系统的数据的来源来分，可以分为三类：

1、基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵；

2、基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵；

3、采用上述两种数据来源的分布式入侵检测系统：它能够同时分析来源于系统的审计日志和来源于网络的信息流，这种系统一般由多个部件组成。