入侵检测设备有哪些

⑴ 什么叫做入侵检测入侵检测系统的基本功能是什么

入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他提出了IDS的概念。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。 我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在： （1）尽可能靠近攻击源 （ 2）尽可能靠近受保护资源 这些位置通常是： ·服务器区域的交换机上 ·Internet接入路由器之后的第一台交换机上 ·重点保护网段的局域网交换机上 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。Venustech(启明星辰）、Internet Security System（ISS）、思科、赛门铁克等公司都推出了自己的产品。系统分类根据检测对象的不同，入侵检测系统可分为主机型和网络型。

⑵ IDS入侵检测的详细介绍

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：（1）尽可能靠近攻击源
（2）尽可能靠近受保护资源
这些位置通常是：
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上入侵检测系统的原理模型如图所示。
入侵检测系统的工作流程大致分为以下几个步骤：
1.信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。
2.信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。
具体的技术形式如下所述：
1).模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。
2).统计分析
分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。
3).完整性分析
完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。这种方式主要应用于基于主机的入侵检测系统（HIDS）。
3.实时记录、报警或有限度反击
IDS根本的任务是要对入侵行为做出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源。
经典的入侵检测系统的部署方式如图所示：

⑶ 入侵检测系统的分类及功能

入侵检测系统的概念
入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为4类：
①检查单IP包（包括TCP、UDP）首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。
②检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等。
③通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。
④利用分片进行的攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类攻击,必须提前（在IP层接受或转发时,而不是在向上层发送时）作组装尝试。分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。
入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。
入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式,向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应（被动响应和主动响应）。
信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。
数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。
入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。
IDS分类
一般来说,入侵检测系统可分为主机型和网络型。
主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
不难看出,网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。
而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。参考文献[7]对此做了描述,感兴趣的读者可参看。
入侵检测系统的几个部件往往位于不同的主机上。一般来说会有三台机器,分别运行事件产生器、事件分析器和响应单元。将前两者合在一起,只需两台。在安装IDS的时候,关键是选择数据采集部分所在的位置,因为它决定了“事件”的可见度。
对于主机型IDS,其数据采集部分当然位于其所监测的主机上。
对于网络型IDS,其数据采集部分则有多种可能：
（1）如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可；
（2）对于交换式以太网交换机,问题则会变得复杂。由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有：
a. 交换机的核心芯片上一般有一个用于调试的端口（span port）,任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。
优点：无需改变IDS体系结构。
缺点：采用此端口会降低交换机性能。
b. 把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。
优点：可得到几乎所有关键数据。
缺点：必须与其他厂商紧密合作,且会降低网络性能。
c. 采用分接器（Tap）,将其接在所有要监测的线路上。
优点：在不降低网络性能的前提下收集了所需的信息。
缺点：必须购买额外的设备(Tap)；若所保护的资源众多,IDS必须配备众多网络接口。
d. 可能唯一在理论上没有限制的办法就是采用主机型IDS。
通信协议
IDS系统组件之间需要通信,不同的厂商的IDS系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。
IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format。目前只有相关的草案（internet draft）,并未形成正式的RFC文档。尽管如此,草案为IDS各部分之间甚至不同IDS系统之间的通信提供了一定的指引。
IAP(Intrusion Alert Protocol)是IDWG制定的、运行于TCP之上的应用层协议,其设计在很大程度上参考了HTTP,但补充了许多其他功能（如可从任意端发起连接,结合了加密、身份验证等）。对于IAP的具体实现,请参看 [4],其中给出了非常详尽的说明。这里我们主要讨论一下设计一个入侵检测系统通信协议时应考虑的问题：
（1）分析系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输（同时防止主动和被动攻击）。
（2）通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。
入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类：一种基于标志（signature-based）,另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出）,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以（至少在理论上可以）判别更广泛甚至未发觉的攻击。
如果条件允许,两者结合的检测会达到更好的效果.
入侵检测系统技术和主要方法
入侵检测系统技术
可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。
发现入侵检测一般采用如下两项技术：
① 异常发现技术,假定所有入侵行为都是与正常行为不同的。它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。异常阀值与特征的选择是其成败的关键。其局限在于,并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
② 是模式发现技术,它是假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式,以正确区分真正的入侵与正常行为。模式发现的优点是误报少,局限是只能发现已知的攻击,对未知的攻击无能为力。
入侵检测的主要方法
静态配置分析
静态配置分析通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（系统配置信息）,而不是系统中的活动。
采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹,这可通过检查系统的状态检测出来；系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施；另外,系统在遭受攻击后,入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。
所以,静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。

⑷ IDS的主要功能有哪些

几乎所有当前市场上的网络入侵检测系统都是基于一种被动数据收集方式的协议分析
，我们可以预见，这种方式在本质上是有缺陷的。

毫无疑问，这样的入侵检测系统会监视整个网络环境中的数据流量，并且总是与一种
预定义的可疑行为模式来进行对照，甚至所谓的入侵行为分析技术也只是简单地从单位时
间状态事件技术上做了些组合工作，事实上离真正实用的复杂黑客入侵行为的剖析和理解
还有很远的距离。

对于这种检测技术的可靠性，我们可以通过自定义的三种可行性很强的攻击方式来验
证――插入攻击、逃避攻击和拒绝服务攻击。我们可以看到，当一个入侵者实施了这样的
入侵策略以后，所谓的入侵检测系统便妥协了。我们的结论是这种入侵检测系统不是放之
四海而皆准的，除非它们从根本上被重新设计过。

入侵检测系统的作用及其功能
真正实用的入侵检测系统的存在价值就是能够察觉黑客的入侵行为并且进行记录和处
理，当然，人们也会根据自己的需求提出需要强大的日志记录策略、黑客入侵诱导等等。

不同的入侵检测系统存在不同的入侵分析特征。一个企图检测Web入侵的系统可能只会
考虑那些常见的恶意HTTP协议请求；同样道理，一个监视动态路由协议的系统可能只会考
虑网络是否存在RIP欺骗攻击等等。目前国内市场上的大部分入侵检测系统使用同一个入侵
行为定义库，如著名的SNORT特征库，这说明我们在技术挖掘方面的投入还不够，事实上我
国在基础研究设施的投入上也存在严重不足。

入侵检测系统现在已经成为重要的安全组件，它有效地补充和完善了其他安全技术和
手段，如近乎快过时的基于协议和端口的防火墙。入侵检测系统为管理人员提供相应的警
告信息、报告可能发生的潜在攻击，从而抵挡了大部分“只是对系统设计好奇”的普通入
侵者。

世界上已经开发出了很多种入侵检测系统，我们可以用通用的入侵检测体系结构（CI
DF:Common Intrusion Detection Framework）来定义常见的入侵检测系统的功能组件。这
些功能组件通常包括事件产生器、分析引擎、存储机制、攻击事件对策。

许多入侵检测系统在设计之时就仅仅被考虑作为警报器。好在多数商业化的入侵检测
系统配置了可用的防御性反攻击模块，起码可以切断TCP连接或动态地更改互动防火墙过滤
规则。这样就可以阻止黑客沿着同一路径继续他的攻击行为。一些入侵检测系统还配置了
很好的攻击诱骗模块，可以为系统提供进一步的防护，也为进一步深入研究黑客行为提供
了依据。

IDS到底有那些不足
IDS的基本原理
对于比较普遍的两种入侵检测模式--基于网络的入侵检测和基于主机的入侵检测，我
们可以这样考虑：基于主机的入侵检测系统对于特定主机给予了定制性的保护，对于发生
在本地的、用户级的、特征性比较明显的入侵行为有防范作用。但是，这种模式对于发生
在网络传输层的入侵通常是无可奈何的，想让应用级特征比较强的系统同时把系统级和网
络底层技术实现得比较完善是不太现实的。虽然我们可以看到在伟大的Linux系统上实现了
Lids，毕竟象Solaris，NT这样的系统，我们能够了解的只是皮毛。

基于网络的入侵检测系统需要监视整个网络的流量，匹配可疑行为特征。它的技术实
现通常必须从网络和系统的底层入手，而且它同时保护的是网络上的一批主机，无论它们
使用的什么系统。基于网络的入侵检测系统显然不会关心某一台主机之上正在进行着什么
操作，只要这些操作数据不会扩散到网络上来。因为网络入侵检测系统是以行为模式匹配
为基础的，我们可以断定它有匹配失误的可能，有因为不能确定某种行为是入侵而将其放
行的可能。那么当一个“聪明”的入侵者骗过了这种系统，顺利地进入一台主机，该系统
的厄运开始了。

被动的网络监视器通常利用网络的混杂模式工作，它们直接从网络媒介获得网络中数
据包的拷贝，而不考虑这些包本来是不应该被它们接收的。当然，这种被动的网络底层协
议分析总是“安静地”存在于网络的某个地方，它只是根据网络媒介提供的这种特征，在
其他主机不知不觉的时候将网络数据拷贝一份。同时，需要考虑到，根据引擎端实现平台
的不同，各平台实现的网络数据包捕获机制的不同，在混杂模式下丢包的程度是不同的。
事实上，对于大多数还需要从内核读取数据的应用级包过滤系统，只能考虑以更快的方式
把数据读取到用户空间，进而发送给其它进程。 这样处理的化，要求从技术上增加用户空
间的缓冲区尺寸，如在BSD(BPF)的系统上，能够利用BIOCSBLEN ioctl调用来增加缓冲区尺
寸。

攻击IDS的原理
入侵检测系统地最重要的特征莫过于其检测的“精确性”。因此IDS要对捕获到的数据
包进行详细的分析，所以对IDS的攻击就是针对IDS在分析数据时的弱点和漏洞。

网络IDS捕获到网络上传输的数据包并进行分析，以便知道一个对象对另一个对象做了
什么。IDS总是通过网络上交换的数据包来对终端系统上发生的信息行为进行判断。假设一
个带有错误UDP校验和的IP数据包，大多数操作系统会丢弃这样的数据。某些比较陈旧的系
统也可能会接受。IDS需要了解每一个终端系统的具体情况，否则IDS按照自己的方式构造
出来的逻辑在终端系统上的应用会有不同。某些操作系统有可能会接受一个明显存在问题
的数据包，如允许一个有错误的校验和的IP包。当然，IDS如果不进行分辨，必然会丢掉这
些本来终端系统会接受的数据。

就算IDS系统知道网络都有些什么操作系统，它也没有办法通过查看一个包而知道是否
一个终端系统会接受这个包。原因很简单，CPU耗尽、内存不足都可能导致系统发生丢包现
象。

IDS全部的信息来源就是它捕获到的数据包。但是，IDS应该多了解一些关于终端系统
的网络行为，应该了解终端系统如何处理各种网络数据。但是，实际上，这是不可能的。

在处理所谓的拒绝服务攻击时，存在两种常见的情况：某些IDS系统在自己处于停机状
态时，可以保持网络正常的信息流通，这种属于“fail-open”型；另一种则是“fail-cl
osed”型，即当IDS系统出现问题时，整个网络也随之瘫痪了。

网络检测系统是被动的。它们不控制网络本身，也不会以任何方式维护网络的连接。
如果一个IDS系统是fail-open的，入侵者通过各种手段使IDS资源不可用了，那时IDS就没
有任何防范入侵的作用了。正是因为这样，IDS系统加强自身抗拒绝服务攻击的能力显得极
为重要。

当然，许多攻击方式讨论的都是针对基于嗅探模式的IDS系统。这些类型的攻击都企图
阻止协议分析，阻止特征模式匹配，阻止IDS获得足够信息以得出结论。

针对入侵检测系统弱点的攻击探讨
有时IDS系统会接受终端系统丢弃了的数据包。因为IDS认为终端系统接受并且处理了
这些数据，而事实上终端系统由于种种原因丢弃了这些数据包。一个入侵者就可以利用这
一点，制造那种他所想要入侵的主机会丢弃而IDS系统将接受并作出判断的数据包，以使I
DS与终端系统得到不同的结论。

我们可以把这种攻击称为“插入式”攻击。道理很简单，假设一个入侵者发往终端系
统的数据是attack，但是，他通过精心构造在数据流中加入了一个多余的t。对于终端系统
而言，这个t是被丢掉不被处理的；而对于IDS系统而言，它得到的最终上下文关系是attt
ack，这个结论使IDS认为这次行为并没有对终端系统形成攻击而不作处理，事实上，终端
系统已经接受了attack数据。

现在让我们来分析一下这种方式的攻击如何阻止特征分析。特征分析通常的方式是根
据固定模式判断某个特定的字串是否被存在于一个数据流中，例如，对待一个phf的HTTP攻
击，IDS通常检查这个字串的存在与否，“GET /cgi-bin/phf?”, IDS系统判断这种情况很
容易，只需要简单的子串搜索功能便可以做到，然而，但是，如果一个入侵者通过插入式
攻击的思想在这次HTTP请求中增加了这样的内容，GET /cgi-bin/pleasedontdetectthisf
orme?,里面同样包含了phf,但是在IDS看来，味道已经不一样了。

插入式攻击的的结果就是IDS系统与终端系统重组得到了不一样的内容。通常，插入式
攻击在IDS没有终端系统处理数据那么严格的时候都存在。可能好的解决方法就是让IDS系
统在处理网络中需要重组的数据的时候，作出严格的判断和处理，尽可能地与终端系统处
理地效果一个样。可是，引来了另外一个问题，这便是另一种攻击方式，相对地叫做“逃
避式“攻击模式。

相对的，有些数据包是IDS不会接受的，而终端系统却会对这些数据作出处理。当然，
IDS由于不接受某些包，而会导致与这些数据相关的上下文关系无法了解。

问题的现象是因为IDS在对数据包进行审核处理的时候过于严格，使得往往某些数据在
终端系统而言，是要进行接受重组处理的，而在IDS本身，仅仅是不作处理，导致许多攻击
在这种严格的分析引擎的鼻子地下躲过。

逃避式攻击和插入式攻击都有效地愚弄了模式匹配引擎系统。结果都是入侵者使得ID
S与终端系统接受处理了不同的数据流，在逃避式攻击中，终端系统比IDS接受了更多的内
容而遭受攻击。

还是上面的phf的例子，入侵者发送了一个HTTP请求，使得原本的GET /cgi-bin/phf？
在IDS处理的结论中变成了GET /gin/f，当然，这个结论对于大多数IDS系统来说，几乎没
有任何意义。

从技术上来看, 插入式和逃避式这两种对付检测系统的方式也不是这容易就被入侵者
所利用，因为实现这种攻击要求入侵具备相当的知识面和实践能力。

现在的许多网络协议是简单的并且容易分析的。比如一个普通的网络分析器就能够容易的
判断一个UDP DNS请求的目的。

其它的一些协议则复杂的多，在得出实际传输的内容之前，需要对许多单个的数据包
进行考虑。这样的话，网络监视器必须总是监视内容的数据流，跟踪包含在数据流中的信
息。例如，为了解析出一个TCP连接中发生了什么，必须重组这次连接中的整个数据流。

象TCP这样的协议，允许在IP最大包尺寸范围内的任意大小的数据被包含于每一个分散
的数据包中，数据可以无序地到达目的地，每个数据包都具有一个序列号来表明自己在数
据流中的位置。TCP数据流的接受者有责任重新按照序列号进行数据包的重新排序和组合，
并解析出数据发送者的意思。这有一套TCP的数据重组机制来完成。在IP层，IP也定义了一
种自己的机制，叫做“碎片“，这种机制允许主机把一个数据包切分为更小的数据分片。
每一个片都有一个标记，标记自己原来属于原始数据包的什么相对位置，叫做”偏移值“
。IP实现允许接受这样的IP碎片包，并且根据偏移值来重组原始数据包。插入式攻击通过
增加一些数据包到数据流中导致终端系统重组很困难。被插入的数据包能够改变数据流的
先后顺序，进而阻止IDS正确地处理紧跟着的正确的数据包。包的插入重叠了老的数据，在
IDS系统上重写了数据流。某些情况下，插入数据包，改变了数据流原来的意思。

逃避式攻击则是导致IDS系统在进行流重组的时候错过了其中的部分关键内容，被IDS忽略
的数据包可能对于数据流的顺序来说是至关重要的；IDS系统可能在逃避式攻击之后不知道
该如何对这些数据下结论了。许多情况下，入侵者产生整个躲避IDS系统检测的数据流是相
对简单的。

“插入式”和“逃避式”IDS攻击都不是很容易防范的，除非IDS通过了第二信息源的配合
，能够对当前监视的网络拓扑结构以及对作为被监视对象的终端系统所能够接收什么样的
数据包进行跟踪分析，否则问题依然存在，这是目前必须要提出来的对被检测网络的诠释
技术，尽可能通过配合第二信息源的方式，让IDS对它所检测的网络中的终端系统以及网络
实际环境有一个成熟的了解。如果一个攻击能够造成实现插入任意的IP数据包，那么，插
入一个UDP或者ICMP也是没有问题的。所以可以看出IDS系统在IP层实现对这两种入侵手段
的免疫将是很重要的。一个最容易的让终端系统丢弃IP数据包的方式是让数据包具有不正
确的IP头部信息。如RFC731定义。入侵者所使用的这些头部信息有问题的数据包在现实中
可能会遇到问题，除非攻击对象IDS系统处在同一个局域网之内，例如如果version域不是
4，而是其他的值，这种数据包实际上是不会被路由的。当然，对于其他的一些域值，比如
IP包长度或者IP头长度，一个不规范的长度将阻止IDS系统正确定位IP中的传输层的位置等
。

在IP头域信息中，最容易被忽略的是校验值。似乎对于一个IDS系统去校验每一个捕获的I
P数据包的校验是没有必要的。然而，一个带有病态的校验值的数据报对于大多数IP实现来
说都是不会被处理的。一个IDS系统在设计的时候考虑到有问题的校验了么？如果没有考虑
到校验的必要性，那么很难避免“插入式“攻击。TTL域表示了一个数据包在到达目的系统
的过程中需要经过多少路由器。每一次，一个路由器转发一个数据包，数据包所带的TTL信
息将会被消耗。TTL消耗尽时，包也被丢弃了。所以，入侵者可以构建一个TTL的值，使得
发送的数据包刚好可以到达IDS系统，但是TTL刚好耗尽了，数据本来应该到达的目标却没
有到。相类似的另一个问题与IP头部的DF标志有关。DF标志置位使得转发设备即便是在包
超出标准大小尺寸的时候也不要对数据进行IP分片，紧紧通知简单的丢弃掉这些包。

这两个不明确的问题的解决要求IDS系统能够了解它所监视的网络拓扑结构。

IP校验和问题很好解决；一个IDS系统可以假设如果校验和是错误的，那么数据包将会被目
标系统所不接受。而IP的选项域的存在又导致一些不同的可能性。许多操作系统可以配置
为自动拒绝源路由数据包。除非IDS了解是否一个源路由数据包的目标主机拒绝这样的数据
包，否则不可能正确处理这样情况。

对IP数据包中的源路由项进行检查或许是一个明显的必要。然而，其他的一些选项也是必
须应该考虑的。例如，“timestamp“选项要求特定的数据包的接受者在数据包里放置一个
时间戳标记。如果这个选项出现问题，处理事件戳选项的代码将强迫丢弃这个包。如果ID
S没有如同终端系统那样核实时间戳选项的话，便存在问题。

同一个LAN上的入侵者能够指引链路层的数据帧到IDS系统，不必允许作为IP目标的主机看
到这个包。如果一个入侵者知道了IDS的MAC地址，他便能将他的欺骗包发往IDS系统，LAN
上的其他系统不会处理这个数据包，但是，如果IDS不检查接受到的数据包的MAC地址，它
是不会知道发生了什么情况的。

逃避式攻击则是导致IDS系统在进行流重组的时候错过了其中的部分关键内容，被IDS忽略
的数据包可能对于数据流的顺序来说是至关重要的；IDS系统可能在逃避式攻击之后不知道
该如何对这些数据下结论了。许多情况下，入侵者产生整个躲避IDS系统检测的数据流是相
对简单的。

因为终端系统将重组IP碎片，所以IDS系统能够进行IP碎片重组也是重要的。一个不能正确
的重组碎片的IDS系统将是容易受到攻击的，入侵者仅仅通过人工生产碎片便可以愚弄IDS
。IP碎片的数据流通常有序到达。但是，协议允许碎片以任何次序到达。一个终端系统必
须能够重组无序到达的数据包分片。 IDS系统如果不能处理IP碎片无序到达这种情况的话
，也是存在问题的；一个入侵者能够故意捣乱他的碎片来逃避IDS检测。而且IDS必须在全
部的碎片都被接收到以后才进行碎片重组。当然了，接收到的分片必须被存储下来，直到
分片流可以被重组为一个完整的IP数据包。一个入侵者如果利用分片的形式来对网络进行
flooding攻击，那么IDS系统通常会资源耗尽。

每个终端系统也必须处理这个问题。许多系统根据TTL来丢弃分片，而避免这种由于大量碎
片请求造成的内存不足。许多入侵者能够刻意地通过构造病态的IP分片躲避传统的包过滤
器，他们使用的是尽可能小的分片包，因为单个的分片所包含的数据不足以达到过滤规则
的长度。另外，出现的问题是重叠的分片处理问题，可能性是这样的，具有不同尺寸和分
片先后到达系统，并且分片的数据位置处于重叠状态，既是说，如果一个分片迟于另外一
个分片达到系统，两个分片对于重组参数来说是同一个，这时新到的数据可能会覆盖掉已
经先到达的老的一些数据。这便又提出了一个问题，如果一个IDS系统没有能够以它所监视
和保护的终端系统处理分片的方式处理分片包的话，可能面对同一个数据分片流，IDS系统
将重组出于终端系统得到的安全不同的数据包。一个了解这种IDS与终端系统之间矛盾的入
侵者可能会采用这种入侵方式。对于重叠分片的取舍是更加复杂的，对于这些又冲突的分
片数据是否被采纳往往取决于他们所在的位置，而根据不同的操作系统的对IP碎片重叠情
况的不同处理也不一样。有些情况，新的数据被承认而有的时候是旧的被承认，而新的被
丢弃。当然，IDS不能正确分析这种情况，将面临“逃脱”式攻击。

IDS系统并不是处理这种重叠分片出现问题的唯一IP实现，终端系统的IP驱动程序同样会有
问题。或许正是因为IP碎片重组的困难和复杂才使得出现了那么多不正确的处理。所以，
除非一个IDS系统准确的知道它所监视的系统都是什么不同的IP驱动，否则精确地重组每一
个系统接受地数据是不可能的。

例如：Windows NT在处理重叠分片时，总是保留已有的数据。这与BSD4.4刚好相反。

IP包的选项域是应该考虑到的。当一个IP包被分片时，来自于原始数据包的选项是否应该
被携带到全部的分片中去。RFC791声明某些IP选项如（security）将出现在每一个分片里
，而其它的一些必须只出现在第一个分片中。对于严格的IP实现将丢弃那些具有不正确选
项的分片。但是IDS许多系统不是这样的。如果IDS没能象终端系统那样精确的处理这种情
况的话，将面临前面提到的两类攻击。

对于IP第四代协议，现实是任何人都可以进行IP地址伪造。使IDS系统判断出来好像是来自
多处的攻击。对于无连接的协议来说，更为严重。

在面向连接的协议中，关于一次连接回话的起源问题基于是否一个可用的连接被产生了；
象TCP这样的连接协议使用了序列号机制，这种机制提供了一种确认方法， 可是，对于无
连接协议，这种相对严格的确认机制却是没有的；可以看到，一个入侵DNS的破坏者其实可
以是来自任何地方。看来，IDS系统的管理者对于IDS系统给出的网络地址的准确性是应该
仔细考虑的。事实上，被IDS检测到的大部分攻击是通过TCP连接的。所以，IDS对TCP会话
数据流的重组能力成为关键。而假如IDS没有能够使用与它所检测的网络中的终端系统同样
的重组规则的话，将是脆弱的。对于正常的TCP连接，就像一次由远程登录发起的连接，这
很容易做到的。也存在许多实现TCP连接监视的方法。对于IDS而言，没有一个对捕获到的
TCP数据流如何进行处理的标准规范成了最主要的问题。

IDS系统为了能够重建TCP连接的信息，TCP片段使用的序列号信息是必须知道的。我们可以
把这种IDS去判断当前连接的可用序列号的过程叫“同步”。当然，在判断序列号时出现问
题，可以叫“失去同步”。当IDS系统在一次TCP连接中失去序列号同步了，就不能够对这
次连接的信息数据进行有效的重组了。在许多情况下，IDS系统由此变得不再处理这一次连
接中的任何数据信息。所以，入侵者通常把让IDS系统失去同步作为一个主要目标。

TCP标准定义了一个流控制机制，用来阻止建立连接的一方发送过多的数据到连接的另外一
方；IDS追踪TCP连接的每一方的window域的值。TCP也允许数据流中发送所谓的OOB数据（
带外数据），它利用了定义的紧急指针。

对于网络中的终端系统，与之相关的每次连接的状态信息的收集处理是没有问题的，每种
TCP实现必须管理自己的TCB――TCP控制块，以便理解那一次建立的连接情况。一个网络I
DS系统也必须能够维护它所监视的每一次连接对应的TCB。

任何网络IDS系统都定义了针对所探测到的新的TCP连接而产生TCB的机制，同时也对那些不
再有关的连接进行释放和消除工作。在讨论IDS的TCP问题中，我们独立地分析三个方面，
可以看到，在IDS处理这三种情况时可能出现问题。首先是TCP creation,通过它IDS决定对
一个新探测到地TCP连接产生TCB；其次是数据流重组，IDS根据它所维护地TCB信息对数据
流进行重组，当然这一步受到上一步地关联；再者是TCB拆卸，IDS通过它撤销一个TCB。通
过分析可以看到，“插入式”攻击的实现将影响到以上提到的几个方面，插入式攻击使得
IDS系统分不清到底什么数据事实上到达了终端系统。比如在数据流重组上下文关系中，数
据插入式攻击使得一次可靠的TCP会话监视几乎成为不可能的事；所以说IDS能够针对插入
式攻击做处理是非常重要的也是很难实现的。

对于IP协议，可以有几种不同的方法可以实现往IDS系统中插入数据包，而对于TCP，问题
会复杂一些，但是同样有一些手段能够导致IDS去主动丢弃某些特定的数据包，以达到入侵
者的目的，无论如何，如果一个IDS系统不能够以它所监视的终端相同的方式来处理TCP包
的话，对待”插入式“将受到威胁。

在一次TCP交互中，如果接收方对应回应了一个信息，那么一个TCP片段就是被认可的，我
们进一步可能分析回应的是RST信息还是ACK信息。IDS能够通过对这些认可信息的辨识判断
一个片段是否是存在问题的。包含在TCP包里面的数据能够被提取出来进行重组，而不去考
虑TCP的头域的某些部分。这种不严格的处理情况使得容易做出对于“插入式“攻击手段显
得脆弱的TCP会话监视器，所以，在处理TCP数据的时候，先严格考虑TCP头域的信息可用性
显得很重要了。一个极易被忽略的头域是“CODE“，这个头域决定了TCP片段中发送的信息
的类型。这个域是一系列二进制标志位。可以看到，某些标志位的组合是不正常的，通常
在网络中导致包被丢弃掉。另外，许多TCP实现就不去接收没有ACK位被设置的TCP片段中的
数据信息。

根据TCP的标准定义，TCP实现应该接受包含在SYN类型片段中的数据信息。而对这种定义的
理解却变成了多种味道，导致一些TCP实现没有正确地处理这类信息。如果一个IDS系统没
能考虑SYN数据，那么一个随便的“逃避式”攻击就可以对它进行威胁；反之，如果这个I
DS系统能够很好地考虑SYN数据了，在针对某些没有正确实现这种定义的终端系统的时候，
它显得当不住入侵者刻画的“插入式”攻击。

另外的经常被忽略的TCP输入处理问题是校验和，全部的TCP实现被强制性地要求验证网络
校验，许多IDS系统不能做这种检查；所以通过构建有错误校验值的TCP片段就可以简单地
插入数据包到IDS系统。

就像处理IP的选项域一样，IDS能够正确的处理TCP的选项域也是十分重要的。可是不幸的
是，由于TCP的选项域某些内容被产生和利用的时间还比较短，如timestamp、windows sc
ale这些选项；另外对于何时TCP的选项能够出现在连接的上下文中，TCP有专门的规定。某
些选项在某些连接状态或许就是不可用或者是非法的。RFC1323[13]中介绍了两个TCP的选
项，这两个选项被设计来增加TCP在高速环境下的可靠性和性能。但是规定这些选项仅仅可
以出现在非SYN的分段之中。

因为某些TCP实现会拒绝包含了这些没有见过的选项的非SYN片段，所以IDS也不可盲目的都
接受这些有选项的数据包。另外，也有一些终端系统通过忽略这些选项，继续处理这些数
据包；所以，可见IDS必须清楚地知道终端系统是如何处理各种数据包的，才能以相对于特
定的终端系统正确的处理方式来进行处理而避免如插入和逃避式攻击。

RFC1323 定义了的另外一个叫做PAWS的概念，全称是“protection against wrapped seq
uence numbers”。使用PAWS的系统将会跟踪分段中的timestamps选项；根据分段中的tim
estamps响应值判断数据包是否被丢弃，一个入侵者可以很简单的产生一个人工的timesta
mp值，目的是使得支持PAWS的TCP堆栈不用作出进一步的处理就丢弃这个数据包。IDS不仅
仅需要知道是否终端系统支持PAWS，而且还需要知道终端系统对于timestamps的threshol
d的值是什么。如果没有这些信息，IDS将会错误地处理不正确地TCP片段，或者对一个片段
的合法性作出错误的猜测。如前面提到的三点，其中TCB creation（可以叫作TCB创造）是
第一点。一个IDS系统TCB创造策略决定了IDS如何开始记录一次给定的TCP连接的数据信息
，比如象序列号等。这使得IDS可以同步一次需要监视的TCP会话。然而TCB创造是个麻烦的
问题。可以用多种方法可以被利用来判断何时打开一个TCB，但是，这些方法中的每一个似
乎证明都是有问题的。TCB创造建立一次连接的初始化状态，包括了连接序列号等信息；通
过对IDS的TCB的欺骗行为，入侵者能够破坏那些与这一次被利用的连

⑸ 入侵感知系统和防火墙的区别是什么

一、 入侵检测系统和防火墙的区别

1. 概念

1)防火墙：防火墙是设置在被保护网络（本地网络）和外部网络（主要是Internet）之间的一道防御系统，以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽内部的信息、结构和运行状态，以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。

2) 入侵检测系统：IDS是对入侵行为的发觉，通过从计算机网络或计算机的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

3) 总结：从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御，IDS则是主动出击寻找潜在的攻击者；防火墙相当于一个机构的门卫，收到各种限制和区域的影响，即凡是防火墙允许的行为都是合法的，而IDS则相当于巡逻兵，不受范围和限制的约束，这也造成了ISO存在误报和漏报的情况出现。

2. 功能

防火墙的主要功能：

1) 过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。

2) 控制对特殊站点的访问：防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分则被保护起来。

3) 作为网络安全的集中监视点：防火墙可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。

入侵检测系统的主要任务：

1) 监视、分析用户及系统活动

2) 对异常行为模式进行统计分析，发行入侵行为规律

3) 检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞

4) 能够实时对检测到的入侵行为进行响应

5) 评估系统关键资源和数据文件的完整性

6) 操作系统的审计跟踪管理，并识别用户违反安全策略的行为

总结：防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补；防火墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，只是监视和分析用户和系统活动。

二、 入侵检测系统和防火墙的联系

1.IDS是继防火墙之后的又一道防线，防火墙是防御，IDS是主动检测，两者相结合有力的保证了内部系统的安全；

2. IDS实时检测可以及时发现一些防火墙没有发现的入侵行为，发行入侵行为的规律，这样防火墙就可以将这些规律加入规则之中，提高防火墙的防护力度。

⑹ 什么是IDS/IPS产品

1. 入侵检测系统(IDS)：
   IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专版业上讲就是依照一定权的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

2. 入侵防御系统(IPS)：
IPS是英文“Intrusion Prevention
System”的缩写，中文意思是入侵防御系统。

3、IPS与IDS的区别：
IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。

⑺ 什么是入侵检测系统它有哪些基本组件构成

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：
· 监视、分析用户及系统活动；
· 系统构造和弱点的审计；
· 识别反映已知进攻的活动模式并向相关人士报警；
· 异常行为模式的统计分析；
· 评估重要系统和数据文件的完整性；
· 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。
信息收集入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。
入侵检测利用的信息一般来自以下四个方面：
1.系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2.目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。
3.程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。

⑻ 网络安全设备有哪些

网络来安全设备有如下三种：
1、防火自墙：它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。
2、VPN：是我们平常所说的虚拟专用网络，VPN是指通过一个公用网络来搭建一个临时的、安全的连接。通常VPN都用到企业内网管理上，它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。
3、杀毒软件：也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统(包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等)的重要组成部分。

⑼ 什么是入侵检测，以及入侵检测的系统结构组成

入侵检测是防火墙的合理补充。

入侵检测的系统结构组成：

1、事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、事件分析器：它经过分析得到数据，并产生分析结果。

3、响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4、事件数据库：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

(9)入侵检测设备有哪些扩展阅读：

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵。

后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高。

误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。

这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。

⑽ 根据检测原理,入侵检测(IDS)可分为几种其属性分别是什么

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。

IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

(10)入侵检测设备有哪些扩展阅读：

入侵检测系统分为四个组件:

1，事件产生器(Eventgenerators)，它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2，事件分析器(Eventanalyzers)，它经过分析得到数据，并产生分析结果。

3，响应单元(Responseunits)，它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4，事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。