入侵检查安全设备如何配置

㈠ 防火墙如何与路由器入侵检测等安全设备联动

联动前 设备是要能通讯的，也就是 路由最起码要可达。

在就是设置，设置权限，很麻烦，具体到命令还是 图形的操作都很繁琐。

你可以阅读写专业知识。

联动 比如说 IDS 因为是旁骛状态，它可以检测 入侵什么的行为，但是由于是旁骛状态，所以 他不能拒绝 恶意的数据包，所以他只有 联动 上级的设备，在上级设备 比如路由器上写一条ACL什么的。

㈡ 新手如何构建一个入门级入侵检测系统

通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于网络的IDS适应能力强。有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基于网络的IDS为例，介绍典型的IDS开发思路。 根据CIDF规范，我们从功能上将入侵检测系统划分为四个基本部分
通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于网络的IDS适应能力强。有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基于网络的IDS为例，介绍典型的IDS开发思路。
根据CIDF规范，我们从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。
具体实现起来，一般都将数据采集子系统（又称探测器）和数据分析子系统在Linux或Unix平台上实现，我们称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库，多跟控制台子系统结合在一起，我们称之为控制管理中心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现。
可以按照如下步骤构建一个基本的入侵检测系统。
第一步 获取Libpcap和Tcpmp
审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用Libpcap和Tcpmp，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。
Libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。
Tcpmp是用于网络监控的工具，可能是Unix上最著名的Sniffer了，它的实现基于Libpcap接口，通过应用布尔表达式打印数据包首部，具体执行过滤转换、包获取和包显示等功能。Tcpmp可以帮助我们描述系统的正常行为，并最终识别出那些不正常的行为，当然，它只是有益于收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。Libpcap和Tcpmp在网上广为流传，开发者可以到相关网站下载。
第二步 构建并配置探测器，实现数据采集功能
1. 应根据自己网络的具体情况，选用合适的软件及硬件设备，如果你的网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器。
2. 在Linux服务器上开出一个日志分区，用于采集数据的存储。
3. 创建Libpcap库。从网上下载的通常都是Libpcap.tar.z的压缩包，所以，应先将其解压缩、解包，然后执行配置脚本，创建适合于自己系统环境的Makefile，再用Make命令创建Libpcap库。Libpcap安装完毕之后，将生成一个Libpcap库、三个include文件和一个Man页面（即用户手册）。
4. 创建Tcpmp。与创建Libpcap的过程一样，先将压缩包解压缩、解包到与Libpcap相同的父目录下，然后配置、安装Tcpmp。
如果配置、创建、安装等操作一切正常的话，到这里，系统已经能够收集到网络数据流了。至于如何使用Libpcap和Tcpmp，还需要参考相关的用户手册。
第三步 建立数据分析模块
网上有一些开放源代码的数据分析软件包，这给我们构建数据分析模块提供了一定的便利条件，但这些“免费的午餐”一般都有很大的局限性，要开发一个真正功能强大、实用的IDS，通常都需要开发者自己动手动脑设计数据分析模块，而这往往也是整个IDS的工作重点。
数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”。所以，在设计此模块之前，开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。 设计数据分析模块的工作量浩大，并且，考虑到“道高一尺，魔高一丈”的黑客手法日益翻新，所以，这注定是一个没有终点的过程，需要不断地更新、升级、完善。在这里需要特别注意三个问题：
① 应优化检测模型和算法的设计，确保系统的执行效率；
② 安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；
③ 报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。
第四步 构建控制台子系统
控制台子系统负责向网络管理员汇报各种网络违规行为，并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。由于Linux或Unix平台在支持界面操作方面远不如常用的Windows产品流行，所以，为了把IDS做成一个通用、易用的系统，笔者建议将控制台子系统在Windows系列平台上实现。
控制台子系统的主要任务有两个：
① 管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；
② 根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。
控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。
1．警报信息查询：网络管理员可以使用单一条件或复合条件进行查询，当警报信息数量庞大、来源广泛的时候，系统需要对警报信息按照危险等级进行分类，从而突出显示网络管理员需要的最重要信息。
2．探测器管理：控制台可以一次管理多个探测器（包括启动、停止、配置、查看运行状态等），查询各个网段的安全状况，针对不同情况制订相应的安全规则。
3．规则库管理功能：为用户提供一个根据不同网段具体情况灵活配置安全策略的工具，如一次定制可应用于多个探测器、默认安全规则等。
4．用户管理：对用户权限进行严格的定义，提供口令修改、添加用户、删除用户、用户权限配置等功能，有效保护系统使用的安全性。
第五步 构建数据库管理子系统
一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些网络事件。
数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。该模块的数据来源有两个：
① 数据分析子系统发来的报警信息及其他重要信息；
② 管理员经过条件查询后对查询结果处理所得的数据，如生成的本地文件、格式报表等。
第六步 联调，一个基本的IDS搭建完毕
以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是联调工作所要解决的问题。
首先，要实现数据采集分析中心和控制管理中心之间的通信，二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息，数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。
联调通过之后，一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能，尤其是提高系统的检测能力。

㈢ 入侵报警系统包括哪些设备组成

前端采集设备（红外对射/双肩探测器等）
传输设备（同轴线缆/网线/光纤等）
管理设备（报警主机/管理主机等）
显示设备（LED/警灯等）

㈣ 中小企业如何部署入侵检测系统

随着网络技术的快速发展，如今的网络安全不再仅仅是靠防火墙或者个别安全社设备就可以完全抵御的，攻击手法和方式的多样化势必要求网络安全产品整合，协同工作。防火墙、杀毒软件、安全策略早已被大多数用户纷纷采用的，更出现了IPS、IDP等高端的安全产品，但笔者以为其实就中小企业而言入侵检测系统更能满足用户的需求。笔者始终认为，只有掌握了恶意软件或行为后，对症下药会更好的解决用户所遇到的威胁。 入侵检测的用途 虽然入侵检测系统(Intrusion Detection System，IDS)早已不再是什么神秘的神兵利器，但却可以在恶意行为发生时及时通告用户，此种检测手段非常适合于在防火墙的基础之上部署在中、小企业中，甚至对于要求更严格的大型企业网络也是适用的。现在用户都清楚一个事实，一台普通的计算机是以安装防火墙的方式来进行访问规则的设置，而对于企业网络来说，这是远远不够的。此时相对更加昂贵的IPS或IDP设备，入侵检测系统IDS已经可以胜任网络防护的重任，管理员只要留意网络通信的异常和警告稍加分析就可以判断是否有恶意行为的发生。通常笔者在实施企业级应用时，首先会考虑企业的实际需要，而IDS不论对于何种规模的网络都是适用的，IDS是建立在防火墙基础之上的一种很有效的防护手段。 入侵检测适用范围 虽然IDS和IPS之间的争论已经了结了很久，但是仍有不少用户在选择安全产品的时候存在错误或者说是模糊的概念。有人说IDS和IPS目前只适用于中大型网络，对于只有小型网络和若干IT工作人员的中小型企业来说，大型IDS入侵检测系统造价偏高而且还得投入工作人员全天候进行监控，相对来说并不划算。因此很多小型企业只能利用防火墙对其实现安全防护，这显然是不够的，这让很多入侵行为无法被防火墙及时发现并造成损失。曾经笔者在为一家中小企业处理做应急方案的时候就发现，由于防火墙自身规则的限制，使得企业无法防范来自内部的威胁，困此小型企业可以尝试使用小型网络产品或者利用外包商们专为中小型企业提供的检测和预警服务，在防火墙产品以备或防火墙无法满足现有安全需求时完善企业的安全机制。但是笔者还是强调任何设备都不是万能的守护神，而IDS应该是多层防御系统的一部份，这个防御系统中最重要的还应是安全管理。 如何部署入侵检测系统 如果企业在已拥有防火墙基础之上部署入侵检测系统，应首先评考虑目前的网络规模和范围以及需要保护的数据和基础设施等，由于IDS只是一种安全硬件，而且由于IDS在行为检测过程中可能会占用比较多的资源，这对于一个极小的网络来说会成为很大的负担，甚至会影响网络的使用性能。用户只有根据自身的需求进行评估后，才可以对相关的IDS或IPS进行评测考证，随后才能讨论IDS如何融入现有的安全策略中。 在小型企业中，配备好一个处理能力良好的防火墙会比完备的IDS更好控制，但是防火墙只能阻止已经被限制网络通信，并不能起到很好的防护效果。而对于IDS来说可以记录不必要的通信量，虽然有时不进行阻止，但在记录中发现不明规则的同时，可以利用防火墙新建策略对其进行阻止访问，所以防火墙与IDS是功能互补，相互依赖的。 通常恶意行为在入侵一台服务器时会先侵入较低保护的系统，然后通过提权获得更高的权限直至达到入侵目的。因此用户考虑是否部署IDS产品前，应对目前服务器中存储的信息进行风险分析，不仅要考虑数据安全性，也要考虑系统结构和低风险系统到高风险系统的可侵入性。 如果仅靠IDS是不会达到很好的防护效果的，用户要想IDS对网络起到很好的保护，那其设备必须安装在防火墙的两边以及网关处，让其检测无论是内部的还是外部的所有通信量，并将不同网段的检测结果进行对比，那样才能确定攻击的来源或者试图入侵的恶意代码。而对于内部攻击，可通过IDS入侵检测系统对内部网段可疑活动的检测，找到病源。当然IDS可能会产生误报，管理人员可以从恶意程序试探网络的通信数据中找到入侵的路径。 总结 随着黑客技术的提升，使得安全技术和产品必须更快的发展，以应对网络各种胁威。

㈤ 简述入侵检测常用的四种方法

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

(5)入侵检查安全设备如何配置扩展阅读

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

㈥ 什么是入侵检测，以及入侵检测的系统结构组成

入侵检测是防火墙的合理补充。

入侵检测的系统结构组成：

1、事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、事件分析器：它经过分析得到数据，并产生分析结果。

3、响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4、事件数据库：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

(6)入侵检查安全设备如何配置扩展阅读：

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵。

后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高。

误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。

这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。

㈦ 入侵检测系统如何搭建

可以这样做：给网站加一个防护产品，比如这个：WAF类的，然扣模拟入侵，可以用工具也可以手动。然后，从这个产品的后台查看防护记录，就可以看到入侵记录

㈧ 如何在CentOS上配置基于主机的入侵检测系统(IDS)的教程

所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一，就是检测文件篡改的机制——不仅仅是文件内容，而且也包括它们的属性。

AIDE （“高级入侵检测环境”的简称）是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性，这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs，以及md5/sha校验值在内的各种特征。

AIDE通过扫描一台（未被篡改）的Linux服务器的文件系统来构建文件属性数据库，以后将服务器文件属性与数据库中的进行校对，然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因，AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。

对于某些客户，他们可能会根据他们的安全策略在他们的服务器上强制安装某种入侵检测系统。但是，不管客户是否要求，系统管理员都应该部署一个入侵检测系统，这通常是一个很好的做法。

在 CentOS或RHEL 上安装AIDE

AIDE的初始安装（同时是首次运行）最好是在系统刚安装完后，并且没有任何服务暴露在互联网甚至局域网时。在这个早期阶段，我们可以将来自外部的一切闯入和破坏风险降到最低限度。事实上，这也是确保系统在AIDE构建其初始数据库时保持干净的唯一途径。（LCTT 译注：当然，如果你的安装源本身就存在安全隐患，则无法建立可信的数据记录）

出于上面的原因，在安装完系统后，我们可以执行下面的命令安装AIDE：

# yum install aide

我们需要将我们的机器从网络断开，并实施下面所述的一些基本配置任务。

配置AIDE

默认配置文件是/etc/aide.conf，该文件介绍了几个示例保护规则（如FIPSR，NORMAL，DIR，DATAONLY），各个规则后面跟着一个等号以及要检查的文件属性列表，或者某些预定义的规则（由+分隔）。你也可以使用此种格式自定义规则。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512

例如，上面的例子说明，NORMAL规则将检查下列属性的不一致性：权限（p）、索引节点（i）、链接数（n）、用户（u）、组（g）、大小（s）、修改时间（m）、创建时间（c）、ACL（acl）、SELinux（selinux）、xattrs（xattr）、SHA256/SHA512校验和（sha256和sha512）。

定义的规则可灵活地用于不同的目录和文件（用正则表达式表示）。

条目之前的感叹号（！）告诉AIDE忽略子目录（或目录中的文件），对于这些可以另外定义规则。

在上面的例子中，PERMS是用于/etc机器子目录和文件的默认规则。然而，对于/etc中的备份文件（如/etc/.*~）则不应用任何规则，也没有规则用于/etc/mtab文件。对于/etc中的其它一些选定的子目录或文件，使用NORMAL规则替代默认规则PERMS。

定义并应用正确的规则到系统中正确的位置，是使用AIDE最难的一部分，但作一个好的判断是一个良好的开始。作为首要的一条规则，不要检查不必要的属性。例如，检查/var/log或/var/spool里头的文件的修改时间将导致大量误报，因为许多的应用程序和守护进程经常会写入内容到该位置，而这些内容都没有问题。此外，检查多个校验值可能会加强安全性，但随之而来的是AIDE的运行时间的增加。

可选的，如果你使用MAILTO变量指定电子邮件地址，就可以将检查结果发送到你的邮箱。将下面这一行放到/etc/aide.conf中的任何位置即可。

MAILTO=root@localhost

首次运行AIDE

运行以下命令来初始化AIDE数据库：

# aide --init

根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz，以便AIDE能读取它：

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz

现在，是时候来将我们的系统与数据库进行第一次校对了。任务很简单，只需运行：

# aide

在没有选项时，AIDE假定使用了--check选项。

如果在数据库创建后没有对系统做过任何修改，AIDE将会以OK信息来结束本次校对。

生产环境中管理AIDE

在构建了一个初始AIDE数据库后，作为不断进行的系统管理活动，你常常需要因为某些合法的理由更新受保护的服务器。每次服务器更新后，你必须重新构建AIDE数据库，以更新数据库内容。要完成该任务，请执行以下命令：

# aide --update

要使用AIDE保护生产系统，可能最好通过任务计划调用AIDE来周期性检查不一致性。例如，要让AIDE每天运行一次，并将结果发送到邮箱：

# crontab -e

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" [email protected]

测试AIDE检查文件篡改

下面的测试环境将演示AIDE是如何来检查文件的完整性的。

测试环境 1

让我们添加一个新文件（如/etc/fake）。

# cat /dev/null > /etc/fake

测试环境 2

让我们修改文件权限，然后看看它是否被检测到。

# chmod 644 /etc/aide.conf

测试环境 3

最后，让我们修改文件内容（如，添加一个注释行到/etc/aide.conf）。

echo "#This is a comment" >> /etc/aide.conf

上面的截图中，第一栏显示了文件的属性，第二栏是AIDE数据库中的值，而第三栏是更新后的值。第三栏中空白部分表示该属性没有改动（如本例中的ACL）。

结尾

如果你曾经发现你自己有很好的理由确信系统被入侵了，但是第一眼又不能确定到底哪些东西被改动了，那么像AIDE这样一个基于主机的入侵检测系统就会很有帮助了，因为它可以帮助你很快识别出哪些东西被改动过，而不是通过猜测来浪费宝贵的时间。谢谢阅读，希望能帮到大家，请继续关注，我们会努力分享更多优秀的文章。

㈨ 如何在CentOS上配置基于主机的入侵检测系统

为ISSRealSecure的部署图，RealSecure是一种混合型的入侵检测系统，提供基于网络和基于主机的实时入侵检测。
其控制台运行在Windows2000上。
RealSecure的传感器是自治的，能被许多控制台控制。
各部分的功能如下：（1）ReaISecure控制台：对多台网络传感器和服务器代理进行管理；
对被管理传感器进行远程的配置和控制；
各个监控器发现的安全事件实时地报告控制台。
（2）NetworkSensor（网络引擎）：对网络进行监听并自动对可疑行为进行响应，最大程度保护网络安全；
运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包；
检测本地网段，查找每一数据包内隐藏的恶意入侵，对发现的入侵做出及时的响应。
当检测到攻击时，网络引擎能即刻做出响应，进行告警/通知（向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台），记录现场（记录事件日志及整个会话），采取安全响应行动（终止入侵连接、调整网络设备配置，如防火墙、执行特定的用户响应程序）。
（3）ServerSensor（服务器代理，安装在各个服务器上）：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测；
具有包拦截、智能报警以及阻塞通信的能力，能够在入侵到达操作系统或应用之前主动阻止入侵；
自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。