ids，安全审计，和网络探针有什么区别?

频道：行业资讯日期：2023-10-11 17:02:23 浏览：372

IDS

中文名入侵检测系统，一般分为2种：

HIDS——基于主机的入侵检测系统，可以参考下面文章

企业安全建设之HIDS - FreeBuf网络安全行业门户www.freebuf.com/articles/es/194510.html

IDS——基于网络的入侵检测设备，我们通常说的IDS就是泛指NIDS，可以参考下snort

基于网络(NIDS)_u011450981的博客-CSDN博客_nidsblog.csdn.net/u011450981/article/details/81159953

总结一下：

和防火墙不同，不是串联在网络中，而是并联镜像流量还原，就是把以太帧还原成各种协议威胁检测，利用规则（正则表达式）匹配协议中的恶意行为的特征产生告警日志

说完了IDS，说一下探针

流量探针狭义上就是嗅探器（sniffer），说俗一点就是你的电脑上安装一个wireshark然后怼到路由器镜像口上然后配置一下路由器和wireshark就成探针了XD

说一下网络安全厂商的探针特点：

旁路部署，和IDS一样镜像流量还原，也和IDS一样威胁检测，还是和……和IDS的结果类似，但是过程除了传统的规则以外，还用到了如机器学习、算法模型、威胁情报等，所以在检测面、检测深度、准确度上比IDS要优秀产生告警日志，也是和……和IDS的结果类似，但是记录的日志内容会更丰富一点，甚至能够保存完整的会话流量包

然而每家网络安全厂商的探针产品，做出来的像是一样但又都不一样，因为网络安全厂商他们自己都有一个自己的哈姆雷特_(:з」∠)_

总结：在网络安全行业当中“探针”并没有一个统一的、标准的定义，但是可以理解是IDS的下一代产品