入侵檢測裝置監測埠

⑴ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(1)入侵檢測裝置監測埠擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

⑵ 入侵檢測系統的分類及功能

入侵檢測系統的概念
入侵行為主要是指對系統資源的非授權使用,可以造成系統數據的丟失和破壞、系統拒絕服務等危害。對於入侵檢測而言的網路攻擊可以分為4類：
①檢查單IP包（包括TCP、UDP）首部即可發覺的攻擊,如winnuke、ping of death、land.c、部分OS detection、source routing等。
②檢查單IP包,但同時要檢查數據段信息才能發覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。
③通過檢測發生頻率才能發覺的攻擊,如埠掃描、SYN Flood、smurf攻擊等。
④利用分片進行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝演算法的種種漏洞。若要檢查此類攻擊,必須提前（在IP層接受或轉發時,而不是在向上層發送時）作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對分片進行組裝嘗試的入侵檢測系統的檢測。
入侵檢測通過對計算機網路或計算機系統中的若干關鍵點收集信息並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟體與硬體的組合就是入侵檢測系統。
入侵檢測系統執行的主要任務包括：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式,向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟,依次為信息收集、數據分析、響應（被動響應和主動響應）。
信息收集的內容包括系統、網路、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自系統日誌、目錄以及文件中的異常改變、程序執行中的異常行為及物理形式的入侵信息4個方面。
數據分析是入侵檢測的核心。它首先構建分析器,把收集到的信息經過預處理,建立一個行為分析引擎或模型,然後向模型中植入時間數據,在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統計分析和完整性分析3種手段進行。前兩種方法用於實時入侵檢測,而完整性分析則用於事後分析。可用5種統計模型進行數據分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計分析的最大優點是可以學慣用戶的使用習慣。
入侵檢測系統在發現入侵後會及時作出響應,包括切斷網路連接、記錄事件和報警等。響應一般分為主動響應（阻止攻擊或影響進而改變攻擊的進程）和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅動或系統本身自動執行,可對入侵者採取行動（如斷開連接）、修正系統環境或收集有用信息；被動響應則包括告警和通知、簡單網路管理協議（SNMP）陷阱和插件等。另外,還可以按策略配置響應,可分別採取立即、緊急、適時、本地的長期和全局的長期等行動。
IDS分類
一般來說,入侵檢測系統可分為主機型和網路型。
主機型入侵檢測系統往往以系統日誌、應用程序日誌等作為數據源,當然也可以通過其他手段（如監督系統調用）從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。
網路型入侵檢測系統的數據源則是網路上的數據包。往往將一台機子的網卡設於混雜模式（promisc mode）,監聽所有本網段內的數據包並進行判斷。一般網路型入侵檢測系統擔負著保護整個網段的任務。
不難看出,網路型IDS的優點主要是簡便：一個網段上只需安裝一個或幾個這樣的系統,便可以監測整個網段的情況。且由於往往分出單獨的計算機做這種應用,不會給運行關鍵業務的主機帶來負載上的增加。但由於現在網路的日趨復雜和高速網路的普及,這種結構正受到越來越大的挑戰。一個典型的例子便是交換式乙太網。
而盡管主機型IDS的缺點顯而易見：必須為不同平台開發不同的程序、增加系統負荷、所需安裝數量眾多等,但是內在結構卻沒有任何束縛,同時可以利用操作系統本身提供的功能、並結合異常分析,更准確的報告攻擊行為。參考文獻[7]對此做了描述,感興趣的讀者可參看。
入侵檢測系統的幾個部件往往位於不同的主機上。一般來說會有三台機器,分別運行事件產生器、事件分析器和響應單元。將前兩者合在一起,只需兩台。在安裝IDS的時候,關鍵是選擇數據採集部分所在的位置,因為它決定了「事件」的可見度。
對於主機型IDS,其數據採集部分當然位於其所監測的主機上。
對於網路型IDS,其數據採集部分則有多種可能：
（1）如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的一個埠上即可；
（2）對於交換式乙太網交換機,問題則會變得復雜。由於交換機不採用共享媒質的辦法,傳統的採用一個sniffer來監聽整個子網的辦法不再可行。可解決的辦法有：
a. 交換機的核心晶元上一般有一個用於調試的埠（span port）,任何其他埠的進出信息都可從此得到。如果交換機廠商把此埠開放出來,用戶可將IDS系統接到此埠上。
優點：無需改變IDS體系結構。
缺點：採用此埠會降低交換機性能。
b. 把入侵檢測系統放在交換機內部或防火牆內部等數據流的關鍵入口、出口。
優點：可得到幾乎所有關鍵數據。
缺點：必須與其他廠商緊密合作,且會降低網路性能。
c. 採用分接器（Tap）,將其接在所有要監測的線路上。
優點：在不降低網路性能的前提下收集了所需的信息。
缺點：必須購買額外的設備(Tap)；若所保護的資源眾多,IDS必須配備眾多網路介面。
d. 可能唯一在理論上沒有限制的辦法就是採用主機型IDS。
通信協議
IDS系統組件之間需要通信,不同的廠商的IDS系統之間也需要通信。因此,定義統一的協議,使各部分能夠根據協議所制訂的標准進行溝通是很有必要的。
IETF目前有一個專門的小組Intrusion Detection Working Group (IDWG)負責定義這種通信格式,稱作Intrusion Detection Exchange Format。目前只有相關的草案（internet draft）,並未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統之間的通信提供了一定的指引。
IAP(Intrusion Alert Protocol)是IDWG制定的、運行於TCP之上的應用層協議,其設計在很大程度上參考了HTTP,但補充了許多其他功能（如可從任意端發起連接,結合了加密、身份驗證等）。對於IAP的具體實現,請參看 [4],其中給出了非常詳盡的說明。這里我們主要討論一下設計一個入侵檢測系統通信協議時應考慮的問題：
（1）分析系統與控制系統之間傳輸的信息是非常重要的信息,因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。
（2）通信的雙方均有可能因異常情況而導致通信中斷,IDS系統必須有額外措施保證系統正常工作。
入侵檢測技術
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類：一種基於標志（signature-based）,另一種基於異常情況(anomaly-based)。
對於基於標識的檢測技術來說,首先要定義違背安全策略的事件的特徵,如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值,如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義,也可以通過觀察系統、並用統計的辦法得出）,然後將系統運行時的數值與所定義的「正常」情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於異常的檢測技術的核心是維護一個知識庫。對於已知得攻擊,它可以詳細、准確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法,但它可以（至少在理論上可以）判別更廣泛甚至未發覺的攻擊。
如果條件允許,兩者結合的檢測會達到更好的效果.
入侵檢測系統技術和主要方法
入侵檢測系統技術
可以採用概率統計方法、專家系統、神經網路、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。
發現入侵檢測一般採用如下兩項技術：
① 異常發現技術,假定所有入侵行為都是與正常行為不同的。它的原理是,假設可以建立系統正常行為的軌跡,所有與正常軌跡不同的系統狀態則視為可疑企圖。異常閥值與特徵的選擇是其成敗的關鍵。其局限在於,並非所有的入侵都表現為異常,而且系統的軌跡難於計算和更新。
② 是模式發現技術,它是假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特徵,所有已知的入侵方法都可以用匹配的方法發現。模式發現技術的關鍵是如何表達入侵的模式,以正確區分真正的入侵與正常行為。模式發現的優點是誤報少,局限是只能發現已知的攻擊,對未知的攻擊無能為力。
入侵檢測的主要方法
靜態配置分析
靜態配置分析通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特徵（系統配置信息）,而不是系統中的活動。
採用靜態分析方法主要有以下幾方面的原因：入侵者對系統攻擊時可能會留下痕跡,這可通過檢查系統的狀態檢測出來；系統管理員以及用戶在建立系統時難免會出現一些錯誤或遺漏一些系統的安全性措施；另外,系統在遭受攻擊後,入侵者可能會在系統中安裝一些安全性後門以方便對系統進行進一步的攻擊。
所以,靜態配置分析方法需要盡可能了解系統的缺陷,否則入侵者只需要簡單地利用那些系統中未知的安全缺陷就可以避開檢測系統。

⑶ 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(3)入侵檢測裝置監測埠擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

⑷ 如何設計入侵檢測系統

基於主機入侵檢測系統為早期的入侵檢測系統結構,其檢測的目標主要是主機系統和系統本地用戶。檢測原理是根據主機的審計數據和系統的日誌發現可疑事件，檢測系統可以運行在被檢測的主機或單獨的主機上，基本過程如下圖所示。

圖中的探測器由過濾器、網路介面引擎器以及過濾規則決策器構成，探測器的功能是按一定的規則從網路上獲取與安全事件相關的數據包，然後傳遞給分析引擎器進行安全分析判斷。分析引擎器將從探測器上接收到的包並結合網路安全資料庫進行分析，把分析的結果傳遞給配置構造器。配置構造器按分析引擎器的結果構造出探測器所需要的配置規則。
基於網路的入侵檢測系統的優點是：

• 伺服器平台獨立性：基於網路的入侵檢測系統監視通信流量而不影響伺服器的平台的變化和更新；
• 配置簡單：基於網路的入侵檢測環境只需要一個普通的網路訪問介面即可；
• 眾多的攻擊標識：基於網路的入侵檢測探測器可以監視多種多樣的攻擊包括協議攻擊和特定環境的攻擊。