計算機網路入侵檢測有哪些

A. 什麼是入侵檢測

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

檢測步驟

(1)信息收集。入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。

而且，需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。

當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只昶用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其他工具。

黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件(票客隱藏了初始文件並用另一版本代替)。

這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。

(2)信號分析。對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

B. 入侵檢測的分類情況

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。 （警報）
當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器，alert信息將顯示在監視器上，也可能伴隨著聲音提示。如果是遠程式控制制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網路管理協議，通常不加密）、email、SMS（簡訊息）或者以上幾種方法的混合方式傳遞給管理員。 （異常）
當有某個事件與一個已知攻擊的信號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。 （IDS硬體）
除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢測系統。
ARIS：Attack Registry & Intelligence Service（攻擊事件注冊及智能服務）
ARIS是SecurityFocus公司提供的一個附加服務，它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來，最終形成詳細的網路安全統計分析及趨勢預測，發布在網路上。它的URL地址是。 （攻擊）
Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型：
攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流（flooding）耗盡系統資源等等。
攻擊類型2－DDOS（Distributed Denial of Service，分布式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊，卻無法發出足夠的信息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠程系統的資源，或者使其連接失效。
攻擊類型3－Smurf：這是一種老式的攻擊，還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網路連接。
攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中，它原本是指那些以合法程序的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當用戶運行合法程序時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程式控制制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。 （自動響應）
除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦方式有很多：首先，可以通過重新配置路由器和防火牆，拒絕那些來自同一地址的信息流；其次，通過在網路上發送reset包切斷連接。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設備，其方法是：通過偽裝成一個友方的地址來發動攻擊，然後IDS就會配置路由器和防火牆來拒絕這些地址，這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路介面位於防火牆內，或者使用專門的發包程序，從而避開標准IP棧需求。 （Computer Emergency Response Team，計算機應急響應小組）
這個術語是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學，他們對計算機安全方面的事件做出反應、採取行動。許多組織都有了CERT，比如CNCERT/CC（中國計算機網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。 （Common Intrusion Detection Framework；通用入侵檢測框架）
CIDF力圖在某種程度上將入侵檢測標准化，開發一些協議和應用程序介面，以使入侵檢測的研究項目之間能夠共享信息和資源，並且入侵檢測組件也能夠在其它系統中再利用。 （Computer Incident Response Team，計算機事件響應小組）
CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。 （Common Intrusion Specification Language，通用入侵規范語言）
CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標准化的嘗試，因此CISL就是對入侵檢測研究的語言進行標准化的嘗試。 （Common Vulnerabilities and Exposures，通用漏洞披露）
關於漏洞的一個老問題就是在設計掃描程序或應對策略時，不同的廠商對漏洞的稱謂也會完全不同。還有，一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中，這樣就給人一種錯覺，好像他們的產品更加有效。MITRE創建了CVE，將漏洞名稱進行標准化，參與的廠商也就順理成章按照這個標准開發IDS產品。 （自定義數據包）
建立自定義數據包，就可以避開一些慣用規定的數據包結構，從而製造數據包欺騙，或者使得收到它的計算機不知該如何處理它。 （同步失效）
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建數據。這一技術在1998年很流行，已經過時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。 （列舉）
經過被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會盡可能地悄悄進行。 （躲避）
Evasion是指發動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時間）值，這樣，經過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標，無害的部分就會被丟掉，只剩下有害的。 （漏洞利用）
對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用代碼或腳本。
對每個漏洞都會存在利用這個漏洞執行攻擊的方式，這個方式就是Exploit。為了攻擊系統，黑客會利用漏洞編寫出程序。
漏洞利用：Zero Day Exploit（零時間漏洞利用）
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程序，並在IDS中寫入其特徵標識信息，使這個漏洞利用無效，有效地捕獲它。 （漏報）
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives（誤報）
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls（防火牆）
防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標准，如源地址、埠等，將危險連接阻擋在外。 （Forum of Incident Response and Security Teams，事件響應和安全團隊論壇）
FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟，一年一度的FIRST受到高度的重視。 （分片）
如果一個信息包太大而無法裝載，它就不得不被分成片斷。分片的依據是網路的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環網（token ring）的MTU是4464，乙太網（Ethernet）的MTU是1500，因此，如果一個信息包要從靈牌環網傳輸到乙太網，它就要被分裂成一些小的片斷，然後再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術。 （啟發）
Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智慧）思想。真正使用啟發理論的IDS已經出現大約10年了，但他們還不夠「聰明」，攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當「聰明」的IDS了，所以就將它們看做是啟發式IDS。但實際上，真正應用AI技術對輸入數據進行分析的IDS還很少很少。 （Honeynet工程）
Honeynet是一種學習工具，是一個包含安全缺陷的網路系統。當它受到安全威脅時，入侵信息就會被捕獲並接受分析，這樣就可以了解黑客的一些情況。Honeynet是一個由30餘名安全專業組織成員組成、專門致力於了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網路，觀察入侵到這些系統中的黑客，研究黑客的戰術、動機及行為。 （蜜罐）
蜜罐是一個包含漏洞的系統，它模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來有「誘捕」的感覺。但是在一些國家中，是不能利用蜜罐收集證據起訴黑客的。 （IDS分類）
有許多不同類型的IDS，以下分別列出：
IDS分類1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS，雖然在默認狀態下並不針對應用程序，但也可以經過訓練，應用於應用程序。例如，KSE（一個基於主機的IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分布式IDS代理需要向中心控制台報告信息。許多中心控制台還可以接收其它來源的數據，如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台，並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3－File Integrity Checkers（文件完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要（加密的雜亂信號），就可以定時地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來，是「事後諸葛亮」，出現的許多產品能在文件被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，默認狀態下的交換網路不允許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是它們變得更加智能化，可以破譯協議並維護狀態。NIDS存在基於應用程序的產品，只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。
IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路信息包，而且交換網路經常會妨礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連接做分析。例如，不像在許多個人防火牆上發現的「試圖連接到埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連接，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是文件完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。 （Intrusion Detection Working Group，入侵檢測工作組）
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟，這些信息是對於入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。 （事件處理）
檢測到一個入侵只是開始。更普遍的情況是，控制台操作員會不斷地收到警報，由於根本無法分出時間來親自追蹤每個潛在事件，操作員會在感興趣的事件上做出標志以備將來由事件處理團隊來調查研究。在最初的反應之後，就需要對事件進行處理，也就是諸如調查、辯論和起訴之類的事宜。 （事件響應）
對檢測出的潛在事件的最初反應，隨後對這些事件要根據事件處理的程序進行處理。 （孤島）
孤島就是把網路從Internet上完全切斷，這幾乎是最後一招了，沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。 （混雜模式）
默認狀態下，IDS網路介面只能看到進出主機的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網路介面是混雜模式，就可以看到網段中所有的網路通信量，不管其來源或目的地。這對於網路IDS是必要的，但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）埠。
Routers（路由器）
路由器是用來連接不同子網的中樞，它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴信息。 （掃描器）
掃描器是自動化的工具，它掃描網路和主機的漏洞。同入侵檢測系統一樣，它們也分為很多種，以下分別描述。
掃描器種類1－NetworkScanners（網路掃描器）：網路掃描器在網路上搜索以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術，但是這種方法很容易被檢測出來。為了變得隱蔽，出現了一些新技術，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是：不同的操作系統對這些掃描會有不同的反應，從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2－Network Vulnerability Scanners（網路漏洞掃描器）：網路漏洞掃描器將網路掃描器向前發展了一步，它能檢測目標主機，並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用，但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。
掃描器種類3－Host VulnerabilityScanners（主機漏洞掃描器）：這類工具就像個有特權的用戶，從內部掃描主機，檢測口令強度、安全策略以及文件許可等內容。網路IDS，特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions，它是一個遠程Windows漏洞掃描器，並且能自動修復漏洞。還有如ISS資料庫掃描器，會掃描資料庫中的漏洞。 （腳本小子）
有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務攻擊，是一些十來歲的中學生乾的，他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子（Script Kiddies）。腳本小子通常都是一些自發的、不太熟練的cracker，他們使用從Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑，因為他們通常都技術不熟練，手上有大把時間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠製造槍支，就能成為強大的敵人。因此，無論何時都不能低估他們的實力。 （躲避）
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包，有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。 （特徵）
IDS的核心是攻擊特徵，它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS，導致誤報或錯報，過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標准，但是有的產商用一個特徵涵蓋許多攻擊，而有些產商則會將這些特徵單獨列出，這就會給人一種印象，好像它包含了更多的特徵，是更好的IDS。大家一定要清楚這些。 （隱藏）
隱藏是指IDS在檢測攻擊時不為外界所見，它們經常在DMZ以外使用，沒有被防火牆保護。它有些缺點，如自動響應。

C. 什麼是入侵檢測，入侵檢測技術可以分為哪兩類

入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。
入侵檢測方法很多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。
入侵檢測通過執行以下任務來實現：
1.監視、分析用戶及系統活動；
2.系統構造和弱點的審計；
3.識別反映已知進攻的活動模式並向相關人士報警；
4.異常行為模式的統計分析；
5.評估重要系統和數據文件的完整性；
6.操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網路提供安全。
入侵檢測系統目前存在的問題:
1.
現有的入侵檢測系統檢測速度遠小於網路傳輸速度,
導致誤報率和漏報率
2.
入侵檢測產品和其它網路安全產品結合問題,
即期間的信息交換,共同協作發現攻擊並阻擊攻擊
3.
基於網路的入侵檢測系統對加密的數據流及交換網路下的數據流不能進行檢測,
並且其本身構建易受攻擊
4.
入侵檢測系統體系結構問題
發展趨勢:
1.
基於agent(注:代理服務)的分布協作式入侵檢測與通用入侵檢測結合
2.
入侵檢測標準的研究,
目前缺乏統一標准
3.
寬頻高速網路實時入侵檢測技術
4.
智能入侵檢測
5.
入侵檢測的測度

D. 常用的幾種入侵檢測系統我就知道snort，還有哪些詳細介紹一下。

Snort有三種工作模式：嗅探器、數據包記錄器、網路入侵檢測系統。嗅探器模式僅僅是從網路上讀取數據包並作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬碟上。網路入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網路數據流以匹配用戶定義的一些規則，並根據檢測結果採取一定的動作。

Snort最重要的用途還是作為網路入侵檢測系統(NIDS)。

E. 入侵檢測系統的分類及功能

入侵檢測系統的概念
入侵行為主要是指對系統資源的非授權使用,可以造成系統數據的丟失和破壞、系統拒絕服務等危害。對於入侵檢測而言的網路攻擊可以分為4類：
①檢查單IP包（包括TCP、UDP）首部即可發覺的攻擊,如winnuke、ping of death、land.c、部分OS detection、source routing等。
②檢查單IP包,但同時要檢查數據段信息才能發覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。
③通過檢測發生頻率才能發覺的攻擊,如埠掃描、SYN Flood、smurf攻擊等。
④利用分片進行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝演算法的種種漏洞。若要檢查此類攻擊,必須提前（在IP層接受或轉發時,而不是在向上層發送時）作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對分片進行組裝嘗試的入侵檢測系統的檢測。
入侵檢測通過對計算機網路或計算機系統中的若干關鍵點收集信息並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟體與硬體的組合就是入侵檢測系統。
入侵檢測系統執行的主要任務包括：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式,向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟,依次為信息收集、數據分析、響應（被動響應和主動響應）。
信息收集的內容包括系統、網路、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自系統日誌、目錄以及文件中的異常改變、程序執行中的異常行為及物理形式的入侵信息4個方面。
數據分析是入侵檢測的核心。它首先構建分析器,把收集到的信息經過預處理,建立一個行為分析引擎或模型,然後向模型中植入時間數據,在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統計分析和完整性分析3種手段進行。前兩種方法用於實時入侵檢測,而完整性分析則用於事後分析。可用5種統計模型進行數據分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計分析的最大優點是可以學慣用戶的使用習慣。
入侵檢測系統在發現入侵後會及時作出響應,包括切斷網路連接、記錄事件和報警等。響應一般分為主動響應（阻止攻擊或影響進而改變攻擊的進程）和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅動或系統本身自動執行,可對入侵者採取行動（如斷開連接）、修正系統環境或收集有用信息；被動響應則包括告警和通知、簡單網路管理協議（SNMP）陷阱和插件等。另外,還可以按策略配置響應,可分別採取立即、緊急、適時、本地的長期和全局的長期等行動。
IDS分類
一般來說,入侵檢測系統可分為主機型和網路型。
主機型入侵檢測系統往往以系統日誌、應用程序日誌等作為數據源,當然也可以通過其他手段（如監督系統調用）從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。
網路型入侵檢測系統的數據源則是網路上的數據包。往往將一台機子的網卡設於混雜模式（promisc mode）,監聽所有本網段內的數據包並進行判斷。一般網路型入侵檢測系統擔負著保護整個網段的任務。
不難看出,網路型IDS的優點主要是簡便：一個網段上只需安裝一個或幾個這樣的系統,便可以監測整個網段的情況。且由於往往分出單獨的計算機做這種應用,不會給運行關鍵業務的主機帶來負載上的增加。但由於現在網路的日趨復雜和高速網路的普及,這種結構正受到越來越大的挑戰。一個典型的例子便是交換式乙太網。
而盡管主機型IDS的缺點顯而易見：必須為不同平台開發不同的程序、增加系統負荷、所需安裝數量眾多等,但是內在結構卻沒有任何束縛,同時可以利用操作系統本身提供的功能、並結合異常分析,更准確的報告攻擊行為。參考文獻[7]對此做了描述,感興趣的讀者可參看。
入侵檢測系統的幾個部件往往位於不同的主機上。一般來說會有三台機器,分別運行事件產生器、事件分析器和響應單元。將前兩者合在一起,只需兩台。在安裝IDS的時候,關鍵是選擇數據採集部分所在的位置,因為它決定了「事件」的可見度。
對於主機型IDS,其數據採集部分當然位於其所監測的主機上。
對於網路型IDS,其數據採集部分則有多種可能：
（1）如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的一個埠上即可；
（2）對於交換式乙太網交換機,問題則會變得復雜。由於交換機不採用共享媒質的辦法,傳統的採用一個sniffer來監聽整個子網的辦法不再可行。可解決的辦法有：
a. 交換機的核心晶元上一般有一個用於調試的埠（span port）,任何其他埠的進出信息都可從此得到。如果交換機廠商把此埠開放出來,用戶可將IDS系統接到此埠上。
優點：無需改變IDS體系結構。
缺點：採用此埠會降低交換機性能。
b. 把入侵檢測系統放在交換機內部或防火牆內部等數據流的關鍵入口、出口。
優點：可得到幾乎所有關鍵數據。
缺點：必須與其他廠商緊密合作,且會降低網路性能。
c. 採用分接器（Tap）,將其接在所有要監測的線路上。
優點：在不降低網路性能的前提下收集了所需的信息。
缺點：必須購買額外的設備(Tap)；若所保護的資源眾多,IDS必須配備眾多網路介面。
d. 可能唯一在理論上沒有限制的辦法就是採用主機型IDS。
通信協議
IDS系統組件之間需要通信,不同的廠商的IDS系統之間也需要通信。因此,定義統一的協議,使各部分能夠根據協議所制訂的標准進行溝通是很有必要的。
IETF目前有一個專門的小組Intrusion Detection Working Group (IDWG)負責定義這種通信格式,稱作Intrusion Detection Exchange Format。目前只有相關的草案（internet draft）,並未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統之間的通信提供了一定的指引。
IAP(Intrusion Alert Protocol)是IDWG制定的、運行於TCP之上的應用層協議,其設計在很大程度上參考了HTTP,但補充了許多其他功能（如可從任意端發起連接,結合了加密、身份驗證等）。對於IAP的具體實現,請參看 [4],其中給出了非常詳盡的說明。這里我們主要討論一下設計一個入侵檢測系統通信協議時應考慮的問題：
（1）分析系統與控制系統之間傳輸的信息是非常重要的信息,因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。
（2）通信的雙方均有可能因異常情況而導致通信中斷,IDS系統必須有額外措施保證系統正常工作。
入侵檢測技術
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類：一種基於標志（signature-based）,另一種基於異常情況(anomaly-based)。
對於基於標識的檢測技術來說,首先要定義違背安全策略的事件的特徵,如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值,如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義,也可以通過觀察系統、並用統計的辦法得出）,然後將系統運行時的數值與所定義的「正常」情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於異常的檢測技術的核心是維護一個知識庫。對於已知得攻擊,它可以詳細、准確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法,但它可以（至少在理論上可以）判別更廣泛甚至未發覺的攻擊。
如果條件允許,兩者結合的檢測會達到更好的效果.
入侵檢測系統技術和主要方法
入侵檢測系統技術
可以採用概率統計方法、專家系統、神經網路、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。
發現入侵檢測一般採用如下兩項技術：
① 異常發現技術,假定所有入侵行為都是與正常行為不同的。它的原理是,假設可以建立系統正常行為的軌跡,所有與正常軌跡不同的系統狀態則視為可疑企圖。異常閥值與特徵的選擇是其成敗的關鍵。其局限在於,並非所有的入侵都表現為異常,而且系統的軌跡難於計算和更新。
② 是模式發現技術,它是假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特徵,所有已知的入侵方法都可以用匹配的方法發現。模式發現技術的關鍵是如何表達入侵的模式,以正確區分真正的入侵與正常行為。模式發現的優點是誤報少,局限是只能發現已知的攻擊,對未知的攻擊無能為力。
入侵檢測的主要方法
靜態配置分析
靜態配置分析通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特徵（系統配置信息）,而不是系統中的活動。
採用靜態分析方法主要有以下幾方面的原因：入侵者對系統攻擊時可能會留下痕跡,這可通過檢查系統的狀態檢測出來；系統管理員以及用戶在建立系統時難免會出現一些錯誤或遺漏一些系統的安全性措施；另外,系統在遭受攻擊後,入侵者可能會在系統中安裝一些安全性後門以方便對系統進行進一步的攻擊。
所以,靜態配置分析方法需要盡可能了解系統的缺陷,否則入侵者只需要簡單地利用那些系統中未知的安全缺陷就可以避開檢測系統。

F. 網路入侵檢測技術和手段有哪些

1.寬頻高速實時的檢測技術如何實現千兆乙太網等高速網路下的實時入侵檢測已經成為現實問題。目前的千兆IDS產品性能指標與實際要求相差很遠,提高性能應主要考慮兩個方面:IDS的軟體結構和演算法需要重新設計,以提高運行速度和效率,適應高速網的環境;隨著高速網路技術的不斷發展,IDS如何適應IPV6等新一代網路協議將成為一個全新的問題。2.大規模分布式的檢測技術傳統的集中式IDS是在不同網段放置多個探測器來收集當前網路狀態信息,並傳送到中央控制台進行處理分析。這種方式存在明顯的缺陷:第一,對了大規模的分布式攻擊,中央控制台的負荷將會超過處理極限,導致漏報率增高;第二,多個探測器收集到的數據在網路上的傳輸一定程度上增加了網路負擔,導致網路系統性能降低;第三,由於網路傳輸的延時問題,中央控制台處理的數據包不能實時反映當前網路狀態。3.數據挖掘技術操作系統的日益復雜和網路流量的急劇增加,導致了審計數據以驚人的速度劇增。

G. 常用的入侵檢測軟體有哪些，舉4個以上的例子，謝謝啦

1.Snort：這是一個幾乎人人都喜愛的開源IDS，它採用靈活的基於規則的語言來描述通信，將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快，成為全球部署最為廣泛的入侵檢測技術，並成為防禦技術的標准。通過協議分析、內容查找和各種各樣的預處理程序，Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、埠掃描和各種可疑行為。在這里要注意，用戶需要檢查免費的BASE來分析Snort的警告。
2.OSSEC HIDS：這一個基於主機的開源入侵檢測系統，它可以執行日誌分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外，它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日誌分析引擎，互聯網供應商、大學和數據中心都樂意運行 OSSEC HIDS，以監視和分析其防火牆、IDS、Web伺服器和身份驗證日誌3.Fragroute/Fragrouter：是一個能夠逃避網路入侵檢測的工具箱，這是一個自分段的路由程序，它能夠截獲、修改並重寫發往一台特定主機的通信，可以實施多種攻擊，如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集，可以對發往某一台特定主機的數據包延遲發送，或復制、丟棄、分段、重疊、列印、記錄、源路由跟蹤等。嚴格來講，這個工具是用於協助測試網路入侵檢測系統的，也可以協助測試防火牆，基本的TCP/IP堆棧行為。可不要濫用這個軟體呵。
4.BASE：又稱基本的分析和安全引擎，BASE是一個基於PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火牆、網路監視工具所生成的安全事件數據。其特性包括一個查詢生成器並查找介面，這種介面能夠發現不同匹配模式的警告，還包括一個數據包查看器/解碼器，基於時間、簽名、協議、IP地址的統計圖表等。
5.Sguil：這是一款被稱為網路安全專家監視網路活動的控制台工具，它可以用於網路安全分析。其主要部件是一個直觀的GUI界面，可以從 Snort/barnyard提供實時的事件活動。還可藉助於其它的部件，實現網路安全監視活動和IDS警告的事件驅動分析。

H. 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(8)計算機網路入侵檢測有哪些擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

I. 什麼是異常入侵檢測

異常入侵檢測，檢測所有從網路到本地的鏈接等並發現不正常的、有入侵傾向的鏈接並阻止。

IETF將一個入侵檢測系統分為四個組件：

事件產生器（Event generators），它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

事件分析器（Event analyzers），它經過分析得到數據，並產生分析結果。

響應單元（Response units ），它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

事件資料庫（Event databases ）事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

安全策略

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高；誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。

但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

以上內容參考：網路-異常入侵檢測、網路-入侵檢測系統

J. 簡述入侵檢測系統功能部件組成

1. 入侵者進入我們的系統主要有三種方式： 物理入侵 、系統入侵、遠程入侵。

2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。

3. 入侵檢測系統由三個功能部分組成，它們分別是感應器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和

基於網路的入侵檢測系統。

5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。

6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。

二、選擇題

1. IDS產品相關的等級主要有(BCD)等三個等級：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS處理過程分為(ABCD )等四個階段。

A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段

3. 入侵檢測系統的主要功能有(ABCD )：

A: 監測並分析系統和用戶的活動

B: 核查系統配置和漏洞

C: 評估系統關鍵資源和數據文件的完整性。

D: 識別已知和未知的攻擊行為

4. IDS產品性能指標有(ABCD )：

A: 每秒數據流量

B: 每秒抓包數

C: 每秒能監控的網路連接數

D: 每秒能夠處理的事件數

5. 入侵檢測產品所面臨的挑戰主要有(ABCD )：

A: 黑客的入侵手段多樣化

B: 大量的誤報和漏報

C: 惡意信息採用加密的方法傳輸

D: 客觀的評估與測試信息的缺乏

三、判斷題

1. 有了入侵檢測系統以後，我們可以徹底獲得網路的安全。(F )

2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )

3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )

4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )

四、簡答題

1. 什麼是入侵檢測系統？簡述入侵檢測系統的作用？

答：入侵檢測系統（Intrusion Detection System,簡稱IDS）是進行入侵檢測的軟體與硬體的組合，事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。 入侵檢測系統的作用主要是通過監控網路、系統的狀態，來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。

2. 比較一下入侵檢測系統與防火牆的作用。

答：防火牆在網路安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網路安全的第一道關卡。IDS是並聯在網路中，通過旁路監聽的方式實時地監視網路中的流量，對網路的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說，IDS是網路安全的第二道關卡，是防火牆的必要補充。

3. 簡述基於主機的入侵檢測系統的優缺點？

答：優點：①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境

④成本低

缺點：①它在一定程度上依靠系統的可靠性，要求系統本身具有基本的安全功能，才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外，根本不檢測網路上的情況

4. 簡述基於網路的入侵檢測系統的優缺點？

答：優點：①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊

缺點：①網路入侵檢測系統只能檢查它直接連接的網段的通信，不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法，只可以檢測出普通的一些攻擊，而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流，處理加密的會話過程比較困難。

5. 為什麼要對入侵檢測系統進行測試和評估？

答：①有助於更好地描述IDS的特徵。②通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估，確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果，可做出一些預測，推斷IDS發展的趨勢，估計風險，制定可實現的IDS質量目標(比如，可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果，對IDS進行改善。

6. 簡述IDS的發展趨勢？

答：①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向