入侵檢測設備有哪些

⑴ 什麼叫做入侵檢測入侵檢測系統的基本功能是什麼

入侵檢測系統（Intrusion-detection system，下稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。 IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。 我們做一個形象的比喻：假如防火牆是一幢大樓的門衛，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。 IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類。根據信息來源可分為基於主機IDS和基於網路的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在： （1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護資源 這些位置通常是： ·伺服器區域的交換機上 ·Internet接入路由器之後的第一台交換機上 ·重點保護網段的區域網交換機上 由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。Venustech(啟明星辰）、Internet Security System（ISS）、思科、賽門鐵克等公司都推出了自己的產品。系統分類根據檢測對象的不同，入侵檢測系統可分為主機型和網路型。

⑵ IDS入侵檢測的詳細介紹

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上入侵檢測系統的原理模型如圖所示。
入侵檢測系統的工作流程大致分為以下幾個步驟：
1.信息收集 入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。
2.信號分析 對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
具體的技術形式如下所述：
1).模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。
2).統計分析
分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。
3).完整性分析
完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。
3.實時記錄、報警或有限度反擊
IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。
經典的入侵檢測系統的部署方式如圖所示：

⑶ 入侵檢測系統的分類及功能

入侵檢測系統的概念
入侵行為主要是指對系統資源的非授權使用,可以造成系統數據的丟失和破壞、系統拒絕服務等危害。對於入侵檢測而言的網路攻擊可以分為4類：
①檢查單IP包（包括TCP、UDP）首部即可發覺的攻擊,如winnuke、ping of death、land.c、部分OS detection、source routing等。
②檢查單IP包,但同時要檢查數據段信息才能發覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。
③通過檢測發生頻率才能發覺的攻擊,如埠掃描、SYN Flood、smurf攻擊等。
④利用分片進行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝演算法的種種漏洞。若要檢查此類攻擊,必須提前（在IP層接受或轉發時,而不是在向上層發送時）作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對分片進行組裝嘗試的入侵檢測系統的檢測。
入侵檢測通過對計算機網路或計算機系統中的若干關鍵點收集信息並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟體與硬體的組合就是入侵檢測系統。
入侵檢測系統執行的主要任務包括：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式,向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟,依次為信息收集、數據分析、響應（被動響應和主動響應）。
信息收集的內容包括系統、網路、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自系統日誌、目錄以及文件中的異常改變、程序執行中的異常行為及物理形式的入侵信息4個方面。
數據分析是入侵檢測的核心。它首先構建分析器,把收集到的信息經過預處理,建立一個行為分析引擎或模型,然後向模型中植入時間數據,在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統計分析和完整性分析3種手段進行。前兩種方法用於實時入侵檢測,而完整性分析則用於事後分析。可用5種統計模型進行數據分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計分析的最大優點是可以學慣用戶的使用習慣。
入侵檢測系統在發現入侵後會及時作出響應,包括切斷網路連接、記錄事件和報警等。響應一般分為主動響應（阻止攻擊或影響進而改變攻擊的進程）和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅動或系統本身自動執行,可對入侵者採取行動（如斷開連接）、修正系統環境或收集有用信息；被動響應則包括告警和通知、簡單網路管理協議（SNMP）陷阱和插件等。另外,還可以按策略配置響應,可分別採取立即、緊急、適時、本地的長期和全局的長期等行動。
IDS分類
一般來說,入侵檢測系統可分為主機型和網路型。
主機型入侵檢測系統往往以系統日誌、應用程序日誌等作為數據源,當然也可以通過其他手段（如監督系統調用）從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。
網路型入侵檢測系統的數據源則是網路上的數據包。往往將一台機子的網卡設於混雜模式（promisc mode）,監聽所有本網段內的數據包並進行判斷。一般網路型入侵檢測系統擔負著保護整個網段的任務。
不難看出,網路型IDS的優點主要是簡便：一個網段上只需安裝一個或幾個這樣的系統,便可以監測整個網段的情況。且由於往往分出單獨的計算機做這種應用,不會給運行關鍵業務的主機帶來負載上的增加。但由於現在網路的日趨復雜和高速網路的普及,這種結構正受到越來越大的挑戰。一個典型的例子便是交換式乙太網。
而盡管主機型IDS的缺點顯而易見：必須為不同平台開發不同的程序、增加系統負荷、所需安裝數量眾多等,但是內在結構卻沒有任何束縛,同時可以利用操作系統本身提供的功能、並結合異常分析,更准確的報告攻擊行為。參考文獻[7]對此做了描述,感興趣的讀者可參看。
入侵檢測系統的幾個部件往往位於不同的主機上。一般來說會有三台機器,分別運行事件產生器、事件分析器和響應單元。將前兩者合在一起,只需兩台。在安裝IDS的時候,關鍵是選擇數據採集部分所在的位置,因為它決定了「事件」的可見度。
對於主機型IDS,其數據採集部分當然位於其所監測的主機上。
對於網路型IDS,其數據採集部分則有多種可能：
（1）如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的一個埠上即可；
（2）對於交換式乙太網交換機,問題則會變得復雜。由於交換機不採用共享媒質的辦法,傳統的採用一個sniffer來監聽整個子網的辦法不再可行。可解決的辦法有：
a. 交換機的核心晶元上一般有一個用於調試的埠（span port）,任何其他埠的進出信息都可從此得到。如果交換機廠商把此埠開放出來,用戶可將IDS系統接到此埠上。
優點：無需改變IDS體系結構。
缺點：採用此埠會降低交換機性能。
b. 把入侵檢測系統放在交換機內部或防火牆內部等數據流的關鍵入口、出口。
優點：可得到幾乎所有關鍵數據。
缺點：必須與其他廠商緊密合作,且會降低網路性能。
c. 採用分接器（Tap）,將其接在所有要監測的線路上。
優點：在不降低網路性能的前提下收集了所需的信息。
缺點：必須購買額外的設備(Tap)；若所保護的資源眾多,IDS必須配備眾多網路介面。
d. 可能唯一在理論上沒有限制的辦法就是採用主機型IDS。
通信協議
IDS系統組件之間需要通信,不同的廠商的IDS系統之間也需要通信。因此,定義統一的協議,使各部分能夠根據協議所制訂的標准進行溝通是很有必要的。
IETF目前有一個專門的小組Intrusion Detection Working Group (IDWG)負責定義這種通信格式,稱作Intrusion Detection Exchange Format。目前只有相關的草案（internet draft）,並未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統之間的通信提供了一定的指引。
IAP(Intrusion Alert Protocol)是IDWG制定的、運行於TCP之上的應用層協議,其設計在很大程度上參考了HTTP,但補充了許多其他功能（如可從任意端發起連接,結合了加密、身份驗證等）。對於IAP的具體實現,請參看 [4],其中給出了非常詳盡的說明。這里我們主要討論一下設計一個入侵檢測系統通信協議時應考慮的問題：
（1）分析系統與控制系統之間傳輸的信息是非常重要的信息,因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。
（2）通信的雙方均有可能因異常情況而導致通信中斷,IDS系統必須有額外措施保證系統正常工作。
入侵檢測技術
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類：一種基於標志（signature-based）,另一種基於異常情況(anomaly-based)。
對於基於標識的檢測技術來說,首先要定義違背安全策略的事件的特徵,如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值,如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義,也可以通過觀察系統、並用統計的辦法得出）,然後將系統運行時的數值與所定義的「正常」情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於異常的檢測技術的核心是維護一個知識庫。對於已知得攻擊,它可以詳細、准確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法,但它可以（至少在理論上可以）判別更廣泛甚至未發覺的攻擊。
如果條件允許,兩者結合的檢測會達到更好的效果.
入侵檢測系統技術和主要方法
入侵檢測系統技術
可以採用概率統計方法、專家系統、神經網路、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。
發現入侵檢測一般採用如下兩項技術：
① 異常發現技術,假定所有入侵行為都是與正常行為不同的。它的原理是,假設可以建立系統正常行為的軌跡,所有與正常軌跡不同的系統狀態則視為可疑企圖。異常閥值與特徵的選擇是其成敗的關鍵。其局限在於,並非所有的入侵都表現為異常,而且系統的軌跡難於計算和更新。
② 是模式發現技術,它是假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特徵,所有已知的入侵方法都可以用匹配的方法發現。模式發現技術的關鍵是如何表達入侵的模式,以正確區分真正的入侵與正常行為。模式發現的優點是誤報少,局限是只能發現已知的攻擊,對未知的攻擊無能為力。
入侵檢測的主要方法
靜態配置分析
靜態配置分析通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特徵（系統配置信息）,而不是系統中的活動。
採用靜態分析方法主要有以下幾方面的原因：入侵者對系統攻擊時可能會留下痕跡,這可通過檢查系統的狀態檢測出來；系統管理員以及用戶在建立系統時難免會出現一些錯誤或遺漏一些系統的安全性措施；另外,系統在遭受攻擊後,入侵者可能會在系統中安裝一些安全性後門以方便對系統進行進一步的攻擊。
所以,靜態配置分析方法需要盡可能了解系統的缺陷,否則入侵者只需要簡單地利用那些系統中未知的安全缺陷就可以避開檢測系統。

⑷ IDS的主要功能有哪些

幾乎所有當前市場上的網路入侵檢測系統都是基於一種被動數據收集方式的協議分析
，我們可以預見，這種方式在本質上是有缺陷的。

毫無疑問，這樣的入侵檢測系統會監視整個網路環境中的數據流量，並且總是與一種
預定義的可疑行為模式來進行對照，甚至所謂的入侵行為分析技術也只是簡單地從單位時
間狀態事件技術上做了些組合工作，事實上離真正實用的復雜黑客入侵行為的剖析和理解
還有很遠的距離。

對於這種檢測技術的可靠性，我們可以通過自定義的三種可行性很強的攻擊方式來驗
證――插入攻擊、逃避攻擊和拒絕服務攻擊。我們可以看到，當一個入侵者實施了這樣的
入侵策略以後，所謂的入侵檢測系統便妥協了。我們的結論是這種入侵檢測系統不是放之
四海而皆準的，除非它們從根本上被重新設計過。

入侵檢測系統的作用及其功能
真正實用的入侵檢測系統的存在價值就是能夠察覺黑客的入侵行為並且進行記錄和處
理，當然，人們也會根據自己的需求提出需要強大的日誌記錄策略、黑客入侵誘導等等。

不同的入侵檢測系統存在不同的入侵分析特徵。一個企圖檢測Web入侵的系統可能只會
考慮那些常見的惡意HTTP協議請求；同樣道理，一個監視動態路由協議的系統可能只會考
慮網路是否存在RIP欺騙攻擊等等。目前國內市場上的大部分入侵檢測系統使用同一個入侵
行為定義庫，如著名的SNORT特徵庫，這說明我們在技術挖掘方面的投入還不夠，事實上我
國在基礎研究設施的投入上也存在嚴重不足。

入侵檢測系統現在已經成為重要的安全組件，它有效地補充和完善了其他安全技術和
手段，如近乎快過時的基於協議和埠的防火牆。入侵檢測系統為管理人員提供相應的警
告信息、報告可能發生的潛在攻擊，從而抵擋了大部分「只是對系統設計好奇」的普通入
侵者。

世界上已經開發出了很多種入侵檢測系統，我們可以用通用的入侵檢測體系結構（CI
DF:Common Intrusion Detection Framework）來定義常見的入侵檢測系統的功能組件。這
些功能組件通常包括事件產生器、分析引擎、存儲機制、攻擊事件對策。

許多入侵檢測系統在設計之時就僅僅被考慮作為警報器。好在多數商業化的入侵檢測
系統配置了可用的防禦性反攻擊模塊，起碼可以切斷TCP連接或動態地更改互動防火牆過濾
規則。這樣就可以阻止黑客沿著同一路徑繼續他的攻擊行為。一些入侵檢測系統還配置了
很好的攻擊誘騙模塊，可以為系統提供進一步的防護，也為進一步深入研究黑客行為提供
了依據。

IDS到底有那些不足
IDS的基本原理
對於比較普遍的兩種入侵檢測模式--基於網路的入侵檢測和基於主機的入侵檢測，我
們可以這樣考慮：基於主機的入侵檢測系統對於特定主機給予了定製性的保護，對於發生
在本地的、用戶級的、特徵性比較明顯的入侵行為有防範作用。但是，這種模式對於發生
在網路傳輸層的入侵通常是無可奈何的，想讓應用級特徵比較強的系統同時把系統級和網
絡底層技術實現得比較完善是不太現實的。雖然我們可以看到在偉大的Linux系統上實現了
Lids，畢竟象Solaris，NT這樣的系統，我們能夠了解的只是皮毛。

基於網路的入侵檢測系統需要監視整個網路的流量，匹配可疑行為特徵。它的技術實
現通常必須從網路和系統的底層入手，而且它同時保護的是網路上的一批主機，無論它們
使用的什麼系統。基於網路的入侵檢測系統顯然不會關心某一台主機之上正在進行著什麼
操作，只要這些操作數據不會擴散到網路上來。因為網路入侵檢測系統是以行為模式匹配
為基礎的，我們可以斷定它有匹配失誤的可能，有因為不能確定某種行為是入侵而將其放
行的可能。那麼當一個「聰明」的入侵者騙過了這種系統，順利地進入一台主機，該系統
的厄運開始了。

被動的網路監視器通常利用網路的混雜模式工作，它們直接從網路媒介獲得網路中數
據包的拷貝，而不考慮這些包本來是不應該被它們接收的。當然，這種被動的網路底層協
議分析總是「安靜地」存在於網路的某個地方，它只是根據網路媒介提供的這種特徵，在
其他主機不知不覺的時候將網路數據拷貝一份。同時，需要考慮到，根據引擎端實現平台
的不同，各平台實現的網路數據包捕獲機制的不同，在混雜模式下丟包的程度是不同的。
事實上，對於大多數還需要從內核讀取數據的應用級包過濾系統，只能考慮以更快的方式
把數據讀取到用戶空間，進而發送給其它進程。 這樣處理的化，要求從技術上增加用戶空
間的緩沖區尺寸，如在BSD(BPF)的系統上，能夠利用BIOCSBLEN ioctl調用來增加緩沖區尺
寸。

攻擊IDS的原理
入侵檢測系統地最重要的特徵莫過於其檢測的「精確性」。因此IDS要對捕獲到的數據
包進行詳細的分析，所以對IDS的攻擊就是針對IDS在分析數據時的弱點和漏洞。

網路IDS捕獲到網路上傳輸的數據包並進行分析，以便知道一個對象對另一個對象做了
什麼。IDS總是通過網路上交換的數據包來對終端系統上發生的信息行為進行判斷。假設一
個帶有錯誤UDP校驗和的IP數據包，大多數操作系統會丟棄這樣的數據。某些比較陳舊的系
統也可能會接受。IDS需要了解每一個終端系統的具體情況，否則IDS按照自己的方式構造
出來的邏輯在終端系統上的應用會有不同。某些操作系統有可能會接受一個明顯存在問題
的數據包，如允許一個有錯誤的校驗和的IP包。當然，IDS如果不進行分辨，必然會丟掉這
些本來終端系統會接受的數據。

就算IDS系統知道網路都有些什麼操作系統，它也沒有辦法通過查看一個包而知道是否
一個終端系統會接受這個包。原因很簡單，CPU耗盡、內存不足都可能導致系統發生丟包現
象。

IDS全部的信息來源就是它捕獲到的數據包。但是，IDS應該多了解一些關於終端系統
的網路行為，應該了解終端系統如何處理各種網路數據。但是，實際上，這是不可能的。

在處理所謂的拒絕服務攻擊時，存在兩種常見的情況：某些IDS系統在自己處於停機狀
態時，可以保持網路正常的信息流通，這種屬於「fail-open」型；另一種則是「fail-cl
osed」型，即當IDS系統出現問題時，整個網路也隨之癱瘓了。

網路檢測系統是被動的。它們不控制網路本身，也不會以任何方式維護網路的連接。
如果一個IDS系統是fail-open的，入侵者通過各種手段使IDS資源不可用了，那時IDS就沒
有任何防範入侵的作用了。正是因為這樣，IDS系統加強自身抗拒絕服務攻擊的能力顯得極
為重要。

當然，許多攻擊方式討論的都是針對基於嗅探模式的IDS系統。這些類型的攻擊都企圖
阻止協議分析，阻止特徵模式匹配，阻止IDS獲得足夠信息以得出結論。

針對入侵檢測系統弱點的攻擊探討
有時IDS系統會接受終端系統丟棄了的數據包。因為IDS認為終端系統接受並且處理了
這些數據，而事實上終端系統由於種種原因丟棄了這些數據包。一個入侵者就可以利用這
一點，製造那種他所想要入侵的主機會丟棄而IDS系統將接受並作出判斷的數據包，以使I
DS與終端系統得到不同的結論。

我們可以把這種攻擊稱為「插入式」攻擊。道理很簡單，假設一個入侵者發往終端系
統的數據是attack，但是，他通過精心構造在數據流中加入了一個多餘的t。對於終端系統
而言，這個t是被丟掉不被處理的；而對於IDS系統而言，它得到的最終上下文關系是attt
ack，這個結論使IDS認為這次行為並沒有對終端系統形成攻擊而不作處理，事實上，終端
系統已經接受了attack數據。

現在讓我們來分析一下這種方式的攻擊如何阻止特徵分析。特徵分析通常的方式是根
據固定模式判斷某個特定的字串是否被存在於一個數據流中，例如，對待一個phf的HTTP攻
擊，IDS通常檢查這個字串的存在與否，「GET /cgi-bin/phf?」, IDS系統判斷這種情況很
容易，只需要簡單的子串搜索功能便可以做到，然而，但是，如果一個入侵者通過插入式
攻擊的思想在這次HTTP請求中增加了這樣的內容，GET /cgi-bin/pleasedontdetectthisf
orme?,裡面同樣包含了phf,但是在IDS看來，味道已經不一樣了。

插入式攻擊的的結果就是IDS系統與終端系統重組得到了不一樣的內容。通常，插入式
攻擊在IDS沒有終端系統處理數據那麼嚴格的時候都存在。可能好的解決方法就是讓IDS系
統在處理網路中需要重組的數據的時候，作出嚴格的判斷和處理，盡可能地與終端系統處
理地效果一個樣。可是，引來了另外一個問題，這便是另一種攻擊方式，相對地叫做「逃
避式「攻擊模式。

相對的，有些數據包是IDS不會接受的，而終端系統卻會對這些數據作出處理。當然，
IDS由於不接受某些包，而會導致與這些數據相關的上下文關系無法了解。

問題的現象是因為IDS在對數據包進行審核處理的時候過於嚴格，使得往往某些數據在
終端系統而言，是要進行接受重組處理的，而在IDS本身，僅僅是不作處理，導致許多攻擊
在這種嚴格的分析引擎的鼻子地下躲過。

逃避式攻擊和插入式攻擊都有效地愚弄了模式匹配引擎系統。結果都是入侵者使得ID
S與終端系統接受處理了不同的數據流，在逃避式攻擊中，終端系統比IDS接受了更多的內
容而遭受攻擊。

還是上面的phf的例子，入侵者發送了一個HTTP請求，使得原本的GET /cgi-bin/phf？
在IDS處理的結論中變成了GET /gin/f，當然，這個結論對於大多數IDS系統來說，幾乎沒
有任何意義。

從技術上來看, 插入式和逃避式這兩種對付檢測系統的方式也不是這容易就被入侵者
所利用，因為實現這種攻擊要求入侵具備相當的知識面和實踐能力。

現在的許多網路協議是簡單的並且容易分析的。比如一個普通的網路分析器就能夠容易的
判斷一個UDP DNS請求的目的。

其它的一些協議則復雜的多，在得出實際傳輸的內容之前，需要對許多單個的數據包
進行考慮。這樣的話，網路監視器必須總是監視內容的數據流，跟蹤包含在數據流中的信
息。例如，為了解析出一個TCP連接中發生了什麼，必須重組這次連接中的整個數據流。

象TCP這樣的協議，允許在IP最大包尺寸范圍內的任意大小的數據被包含於每一個分散
的數據包中，數據可以無序地到達目的地，每個數據包都具有一個序列號來表明自己在數
據流中的位置。TCP數據流的接受者有責任重新按照序列號進行數據包的重新排序和組合，
並解析出數據發送者的意思。這有一套TCP的數據重組機制來完成。在IP層，IP也定義了一
種自己的機制，叫做「碎片「，這種機制允許主機把一個數據包切分為更小的數據分片。
每一個片都有一個標記，標記自己原來屬於原始數據包的什麼相對位置，叫做」偏移值「
。IP實現允許接受這樣的IP碎片包，並且根據偏移值來重組原始數據包。插入式攻擊通過
增加一些數據包到數據流中導致終端系統重組很困難。被插入的數據包能夠改變數據流的
先後順序，進而阻止IDS正確地處理緊跟著的正確的數據包。包的插入重疊了老的數據，在
IDS系統上重寫了數據流。某些情況下，插入數據包，改變了數據流原來的意思。

逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容，被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的；IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下，入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。

「插入式」和「逃避式」IDS攻擊都不是很容易防範的，除非IDS通過了第二信息源的配合
，能夠對當前監視的網路拓撲結構以及對作為被監視對象的終端系統所能夠接收什麼樣的
數據包進行跟蹤分析，否則問題依然存在，這是目前必須要提出來的對被檢測網路的詮釋
技術，盡可能通過配合第二信息源的方式，讓IDS對它所檢測的網路中的終端系統以及網路
實際環境有一個成熟的了解。如果一個攻擊能夠造成實現插入任意的IP數據包，那麼，插
入一個UDP或者ICMP也是沒有問題的。所以可以看出IDS系統在IP層實現對這兩種入侵手段
的免疫將是很重要的。一個最容易的讓終端系統丟棄IP數據包的方式是讓數據包具有不正
確的IP頭部信息。如RFC731定義。入侵者所使用的這些頭部信息有問題的數據包在現實中
可能會遇到問題，除非攻擊對象IDS系統處在同一個區域網之內，例如如果version域不是
4，而是其他的值，這種數據包實際上是不會被路由的。當然，對於其他的一些域值，比如
IP包長度或者IP頭長度，一個不規范的長度將阻止IDS系統正確定位IP中的傳輸層的位置等
。

在IP頭域信息中，最容易被忽略的是校驗值。似乎對於一個IDS系統去校驗每一個捕獲的I
P數據包的校驗是沒有必要的。然而，一個帶有病態的校驗值的數據報對於大多數IP實現來
說都是不會被處理的。一個IDS系統在設計的時候考慮到有問題的校驗了么？如果沒有考慮
到校驗的必要性，那麼很難避免「插入式「攻擊。TTL域表示了一個數據包在到達目的系統
的過程中需要經過多少路由器。每一次，一個路由器轉發一個數據包，數據包所帶的TTL信
息將會被消耗。TTL消耗盡時，包也被丟棄了。所以，入侵者可以構建一個TTL的值，使得
發送的數據包剛好可以到達IDS系統，但是TTL剛好耗盡了，數據本來應該到達的目標卻沒
有到。相類似的另一個問題與IP頭部的DF標志有關。DF標志置位使得轉發設備即便是在包
超出標准大小尺寸的時候也不要對數據進行IP分片，緊緊通知簡單的丟棄掉這些包。

這兩個不明確的問題的解決要求IDS系統能夠了解它所監視的網路拓撲結構。

IP校驗和問題很好解決；一個IDS系統可以假設如果校驗和是錯誤的，那麼數據包將會被目
標系統所不接受。而IP的選項域的存在又導致一些不同的可能性。許多操作系統可以配置
為自動拒絕源路由數據包。除非IDS了解是否一個源路由數據包的目標主機拒絕這樣的數據
包，否則不可能正確處理這樣情況。

對IP數據包中的源路由項進行檢查或許是一個明顯的必要。然而，其他的一些選項也是必
須應該考慮的。例如，「timestamp「選項要求特定的數據包的接受者在數據包里放置一個
時間戳標記。如果這個選項出現問題，處理事件戳選項的代碼將強迫丟棄這個包。如果ID
S沒有如同終端系統那樣核實時間戳選項的話，便存在問題。

同一個LAN上的入侵者能夠指引鏈路層的數據幀到IDS系統，不必允許作為IP目標的主機看
到這個包。如果一個入侵者知道了IDS的MAC地址，他便能將他的欺騙包發往IDS系統，LAN
上的其他系統不會處理這個數據包，但是，如果IDS不檢查接受到的數據包的MAC地址，它
是不會知道發生了什麼情況的。

逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容，被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的；IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下，入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。

因為終端系統將重組IP碎片，所以IDS系統能夠進行IP碎片重組也是重要的。一個不能正確
的重組碎片的IDS系統將是容易受到攻擊的，入侵者僅僅通過人工生產碎片便可以愚弄IDS
。IP碎片的數據流通常有序到達。但是，協議允許碎片以任何次序到達。一個終端系統必
須能夠重組無序到達的數據包分片。 IDS系統如果不能處理IP碎片無序到達這種情況的話
，也是存在問題的；一個入侵者能夠故意搗亂他的碎片來逃避IDS檢測。而且IDS必須在全
部的碎片都被接收到以後才進行碎片重組。當然了，接收到的分片必須被存儲下來，直到
分片流可以被重組為一個完整的IP數據包。一個入侵者如果利用分片的形式來對網路進行
flooding攻擊，那麼IDS系統通常會資源耗盡。

每個終端系統也必須處理這個問題。許多系統根據TTL來丟棄分片，而避免這種由於大量碎
片請求造成的內存不足。許多入侵者能夠刻意地通過構造病態的IP分片躲避傳統的包過濾
器，他們使用的是盡可能小的分片包，因為單個的分片所包含的數據不足以達到過濾規則
的長度。另外，出現的問題是重疊的分片處理問題，可能性是這樣的，具有不同尺寸和分
片先後到達系統，並且分片的數據位置處於重疊狀態，既是說，如果一個分片遲於另外一
個分片達到系統，兩個分片對於重組參數來說是同一個，這時新到的數據可能會覆蓋掉已
經先到達的老的一些數據。這便又提出了一個問題，如果一個IDS系統沒有能夠以它所監視
和保護的終端系統處理分片的方式處理分片包的話，可能面對同一個數據分片流，IDS系統
將重組出於終端系統得到的安全不同的數據包。一個了解這種IDS與終端系統之間矛盾的入
侵者可能會採用這種入侵方式。對於重疊分片的取捨是更加復雜的，對於這些又沖突的分
片數據是否被採納往往取決於他們所在的位置，而根據不同的操作系統的對IP碎片重疊情
況的不同處理也不一樣。有些情況，新的數據被承認而有的時候是舊的被承認，而新的被
丟棄。當然，IDS不能正確分析這種情況，將面臨「逃脫」式攻擊。

IDS系統並不是處理這種重疊分片出現問題的唯一IP實現，終端系統的IP驅動程序同樣會有
問題。或許正是因為IP碎片重組的困難和復雜才使得出現了那麼多不正確的處理。所以，
除非一個IDS系統准確的知道它所監視的系統都是什麼不同的IP驅動，否則精確地重組每一
個系統接受地數據是不可能的。

例如：Windows NT在處理重疊分片時，總是保留已有的數據。這與BSD4.4剛好相反。

IP包的選項域是應該考慮到的。當一個IP包被分片時，來自於原始數據包的選項是否應該
被攜帶到全部的分片中去。RFC791聲明某些IP選項如（security）將出現在每一個分片里
，而其它的一些必須只出現在第一個分片中。對於嚴格的IP實現將丟棄那些具有不正確選
項的分片。但是IDS許多系統不是這樣的。如果IDS沒能象終端系統那樣精確的處理這種情
況的話，將面臨前面提到的兩類攻擊。

對於IP第四代協議，現實是任何人都可以進行IP地址偽造。使IDS系統判斷出來好像是來自
多處的攻擊。對於無連接的協議來說，更為嚴重。

在面向連接的協議中，關於一次連接回話的起源問題基於是否一個可用的連接被產生了；
象TCP這樣的連接協議使用了序列號機制，這種機制提供了一種確認方法， 可是，對於無
連接協議，這種相對嚴格的確認機制卻是沒有的；可以看到，一個入侵DNS的破壞者其實可
以是來自任何地方。看來，IDS系統的管理者對於IDS系統給出的網路地址的准確性是應該
仔細考慮的。事實上，被IDS檢測到的大部分攻擊是通過TCP連接的。所以，IDS對TCP會話
數據流的重組能力成為關鍵。而假如IDS沒有能夠使用與它所檢測的網路中的終端系統同樣
的重組規則的話，將是脆弱的。對於正常的TCP連接，就像一次由遠程登錄發起的連接，這
很容易做到的。也存在許多實現TCP連接監視的方法。對於IDS而言，沒有一個對捕獲到的
TCP數據流如何進行處理的標准規范成了最主要的問題。

IDS系統為了能夠重建TCP連接的信息，TCP片段使用的序列號信息是必須知道的。我們可以
把這種IDS去判斷當前連接的可用序列號的過程叫「同步」。當然，在判斷序列號時出現問
題，可以叫「失去同步」。當IDS系統在一次TCP連接中失去序列號同步了，就不能夠對這
次連接的信息數據進行有效的重組了。在許多情況下，IDS系統由此變得不再處理這一次連
接中的任何數據信息。所以，入侵者通常把讓IDS系統失去同步作為一個主要目標。

TCP標準定義了一個流控制機制，用來阻止建立連接的一方發送過多的數據到連接的另外一
方；IDS追蹤TCP連接的每一方的window域的值。TCP也允許數據流中發送所謂的OOB數據（
帶外數據），它利用了定義的緊急指針。

對於網路中的終端系統，與之相關的每次連接的狀態信息的收集處理是沒有問題的，每種
TCP實現必須管理自己的TCB――TCP控制塊，以便理解那一次建立的連接情況。一個網路I
DS系統也必須能夠維護它所監視的每一次連接對應的TCB。

任何網路IDS系統都定義了針對所探測到的新的TCP連接而產生TCB的機制，同時也對那些不
再有關的連接進行釋放和消除工作。在討論IDS的TCP問題中，我們獨立地分析三個方面，
可以看到，在IDS處理這三種情況時可能出現問題。首先是TCP creation,通過它IDS決定對
一個新探測到地TCP連接產生TCB；其次是數據流重組，IDS根據它所維護地TCB信息對數據
流進行重組，當然這一步受到上一步地關聯；再者是TCB拆卸，IDS通過它撤銷一個TCB。通
過分析可以看到，「插入式」攻擊的實現將影響到以上提到的幾個方面，插入式攻擊使得
IDS系統分不清到底什麼數據事實上到達了終端系統。比如在數據流重組上下文關系中，數
據插入式攻擊使得一次可靠的TCP會話監視幾乎成為不可能的事；所以說IDS能夠針對插入
式攻擊做處理是非常重要的也是很難實現的。

對於IP協議，可以有幾種不同的方法可以實現往IDS系統中插入數據包，而對於TCP，問題
會復雜一些，但是同樣有一些手段能夠導致IDS去主動丟棄某些特定的數據包，以達到入侵
者的目的，無論如何，如果一個IDS系統不能夠以它所監視的終端相同的方式來處理TCP包
的話，對待」插入式「將受到威脅。

在一次TCP交互中，如果接收方對應回應了一個信息，那麼一個TCP片段就是被認可的，我
們進一步可能分析回應的是RST信息還是ACK信息。IDS能夠通過對這些認可信息的辨識判斷
一個片段是否是存在問題的。包含在TCP包裡面的數據能夠被提取出來進行重組，而不去考
慮TCP的頭域的某些部分。這種不嚴格的處理情況使得容易做出對於「插入式「攻擊手段顯
得脆弱的TCP會話監視器，所以，在處理TCP數據的時候，先嚴格考慮TCP頭域的信息可用性
顯得很重要了。一個極易被忽略的頭域是「CODE「，這個頭域決定了TCP片段中發送的信息
的類型。這個域是一系列二進制標志位。可以看到，某些標志位的組合是不正常的，通常
在網路中導致包被丟棄掉。另外，許多TCP實現就不去接收沒有ACK位被設置的TCP片段中的
數據信息。

根據TCP的標準定義，TCP實現應該接受包含在SYN類型片段中的數據信息。而對這種定義的
理解卻變成了多種味道，導致一些TCP實現沒有正確地處理這類信息。如果一個IDS系統沒
能考慮SYN數據，那麼一個隨便的「逃避式」攻擊就可以對它進行威脅；反之，如果這個I
DS系統能夠很好地考慮SYN數據了，在針對某些沒有正確實現這種定義的終端系統的時候，
它顯得當不住入侵者刻畫的「插入式」攻擊。

另外的經常被忽略的TCP輸入處理問題是校驗和，全部的TCP實現被強制性地要求驗證網路
校驗，許多IDS系統不能做這種檢查；所以通過構建有錯誤校驗值的TCP片段就可以簡單地
插入數據包到IDS系統。

就像處理IP的選項域一樣，IDS能夠正確的處理TCP的選項域也是十分重要的。可是不幸的
是，由於TCP的選項域某些內容被產生和利用的時間還比較短，如timestamp、windows sc
ale這些選項；另外對於何時TCP的選項能夠出現在連接的上下文中，TCP有專門的規定。某
些選項在某些連接狀態或許就是不可用或者是非法的。RFC1323[13]中介紹了兩個TCP的選
項，這兩個選項被設計來增加TCP在高速環境下的可靠性和性能。但是規定這些選項僅僅可
以出現在非SYN的分段之中。

因為某些TCP實現會拒絕包含了這些沒有見過的選項的非SYN片段，所以IDS也不可盲目的都
接受這些有選項的數據包。另外，也有一些終端系統通過忽略這些選項，繼續處理這些數
據包；所以，可見IDS必須清楚地知道終端系統是如何處理各種數據包的，才能以相對於特
定的終端系統正確的處理方式來進行處理而避免如插入和逃避式攻擊。

RFC1323 定義了的另外一個叫做PAWS的概念，全稱是「protection against wrapped seq
uence numbers」。使用PAWS的系統將會跟蹤分段中的timestamps選項；根據分段中的tim
estamps響應值判斷數據包是否被丟棄，一個入侵者可以很簡單的產生一個人工的timesta
mp值，目的是使得支持PAWS的TCP堆棧不用作出進一步的處理就丟棄這個數據包。IDS不僅
僅需要知道是否終端系統支持PAWS，而且還需要知道終端系統對於timestamps的threshol
d的值是什麼。如果沒有這些信息，IDS將會錯誤地處理不正確地TCP片段，或者對一個片段
的合法性作出錯誤的猜測。如前面提到的三點，其中TCB creation（可以叫作TCB創造）是
第一點。一個IDS系統TCB創造策略決定了IDS如何開始記錄一次給定的TCP連接的數據信息
，比如象序列號等。這使得IDS可以同步一次需要監視的TCP會話。然而TCB創造是個麻煩的
問題。可以用多種方法可以被利用來判斷何時打開一個TCB，但是，這些方法中的每一個似
乎證明都是有問題的。TCB創造建立一次連接的初始化狀態，包括了連接序列號等信息；通
過對IDS的TCB的欺騙行為，入侵者能夠破壞那些與這一次被利用的連

⑸ 入侵感知系統和防火牆的區別是什麼

一、 入侵檢測系統和防火牆的區別

1. 概念

1)防火牆：防火牆是設置在被保護網路（本地網路）和外部網路（主要是Internet）之間的一道防禦系統，以防止發生不可預測的、潛在的破壞性的侵入。它可以通過檢測、限制、更改跨越防火牆的數據流，盡可能的對外部屏蔽內部的信息、結構和運行狀態，以此來保護內部網路中的信息、資源等不受外部網路中非法用戶的侵犯。

2) 入侵檢測系統：IDS是對入侵行為的發覺，通過從計算機網路或計算機的關鍵點收集信息並進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。

3) 總結：從概念上我們可以看出防火牆是針對黑客攻擊的一種被動的防禦，IDS則是主動出擊尋找潛在的攻擊者；防火牆相當於一個機構的門衛，收到各種限制和區域的影響，即凡是防火牆允許的行為都是合法的，而IDS則相當於巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報和漏報的情況出現。

2. 功能

防火牆的主要功能：

1) 過濾不安全的服務和非法用戶：所有進出內部網路的信息都是必須通過防火牆，防火牆成為一個檢查點，禁止未授權的用戶訪問受保護的網路。

2) 控制對特殊站點的訪問：防火牆可以允許受保護網路中的一部分主機被外部網訪問，而另一部分則被保護起來。

3) 作為網路安全的集中監視點：防火牆可以記錄所有通過它的訪問，並提供統計數據，提供預警和審計功能。

入侵檢測系統的主要任務：

1) 監視、分析用戶及系統活動

2) 對異常行為模式進行統計分析，發行入侵行為規律

3) 檢查系統配置的正確性和安全漏洞，並提示管理員修補漏洞

4) 能夠實時對檢測到的入侵行為進行響應

5) 評估系統關鍵資源和數據文件的完整性

6) 操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為

總結：防火牆只是防禦為主，通過防火牆的數據便不再進行任何操作，IDS則進行實時的檢測，發現入侵行為即可做出反應，是對防火牆弱點的修補；防火牆可以允許內部的一些主機被外部訪問，IDS則沒有這些功能，只是監視和分析用戶和系統活動。

二、 入侵檢測系統和防火牆的聯系

1.IDS是繼防火牆之後的又一道防線，防火牆是防禦，IDS是主動檢測，兩者相結合有力的保證了內部系統的安全；

2. IDS實時檢測可以及時發現一些防火牆沒有發現的入侵行為，發行入侵行為的規律，這樣防火牆就可以將這些規律加入規則之中，提高防火牆的防護力度。

⑹ 什麼是IDS/IPS產品

1. 入侵檢測系統(IDS)：
   IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專版業上講就是依照一定權的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

2. 入侵防禦系統(IPS)：
IPS是英文「Intrusion Prevention
System」的縮寫，中文意思是入侵防禦系統。

3、IPS與IDS的區別：
IPS對於初始者來說，是位於防火牆和網路的設備之間的設備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。而IDS只是存在於你的網路之外起到報警的作用，而不是在你的網路前面起到防禦的作用。

⑺ 什麼是入侵檢測系統它有哪些基本組件構成

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：
· 監視、分析用戶及系統活動；
· 系統構造和弱點的審計；
· 識別反映已知進攻的活動模式並向相關人士報警；
· 異常行為模式的統計分析；
· 評估重要系統和數據文件的完整性；
· 操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網路系統（包括程序、文件和硬體設備等）的任何變更，還能給網路安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網路安全。而且，入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後，會及時作出響應，包括切斷網路連接、記錄事件和報警等。
信息收集入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。而且，需要在計算機網路系統中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，unix系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件（黑客隱藏了初試文件並用另一版本代替）。這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面：
1.系統和網路日誌文件
黑客經常在系統日誌文件中留下他們的蹤跡，因此，充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件，能夠發現成功的入侵或入侵企圖，並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄「用戶活動」類型的日誌，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用，例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中，這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。

⑻ 網路安全設備有哪些

網路來安全設備有如下三種：
1、防火自牆：它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。
2、VPN：是我們平常所說的虛擬專用網路，VPN是指通過一個公用網路來搭建一個臨時的、安全的連接。通常VPN都用到企業內網管理上，它可以通過特殊的加密的通訊協議在連接在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路。
3、殺毒軟體：也稱反病毒軟體或防毒軟體，是用於消除電腦病毒、特洛伊木馬和惡意軟體等計算機威脅的一類軟體。殺毒軟體通常集成監控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟體還帶有數據恢復等功能，是計算機防禦系統(包含殺毒軟體，防火牆，特洛伊木馬和其他惡意軟體的查殺程序，入侵預防系統等)的重要組成部分。

⑼ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(9)入侵檢測設備有哪些擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

⑽ 根據檢測原理,入侵檢測(IDS)可分為幾種其屬性分別是什麼

分為兩類：

1、信息來源一類：基於主機IDS和基於網路的IDS。

2、檢測方法一類：異常入侵檢測和誤用入侵檢測。

IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。

在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。

(10)入侵檢測設備有哪些擴展閱讀：

入侵檢測系統分為四個組件:

1，事件產生器(Eventgenerators)，它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2，事件分析器(Eventanalyzers)，它經過分析得到數據，並產生分析結果。

3，響應單元(Responseunits)，它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4，事件資料庫(Eventdatabases)事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。