網路入侵檢測系統如何工作

Ⅰ 簡述入侵檢測系統的工作原理

入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術

Ⅱ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計
數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。 入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現： · 監視、分析用戶及系統活動； · 系統構造和弱點的審計； · 識別反映已知進攻的活動模式並向相關人士報警； · 異常行為模式的統計分析； · 評估重要系統和數據文件的完整性； · 操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。 對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網路系統（包括程序、文件和硬體設備等）的任何變更，還能給網路安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網路安全。而且，入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後，會及時作出響應，包括切斷網路連接、記錄事件和報警等。編輯本段分類情況
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
特徵檢測
特徵檢測 (Signature-based detection) 又稱 Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
異常檢測
異常檢測 (Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。編輯本段工作步驟
對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網路系統（包括程序、文件和硬體設備等）的任何變更，還能給網路安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網路安全。而且，入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後，會及時作出響應，包括切斷網路連接、記錄事件和報警等。編輯本段常用術語
隨著IDS（入侵檢測系統）的超速發展，與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語，其中一些是非常基本並相對通用的，而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力，不同的產商可能會用同一個術語表示不同的意義，從而導致某些術語的確切意義出現了混亂。對此，本文會試圖將所有的術語都囊括進來。
Alert
（警報） 當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器，alert信息將顯示在監視器上，也可能伴隨著聲音提示。如果是遠程式控制制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網路管理協議，通常不加密）、email、SMS（簡訊息）或者以上幾種方法的混合方式傳遞給管理員。
Anomaly
（異常） 當有某個事件與一個已知攻擊的信號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時
入侵檢測圖片(2)
，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。
Appliance
（IDS硬體） 除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢測系統。 ARIS：Attack Registry & Intelligence Service（攻擊事件注冊及智能服務） ARIS是SecurityFocus公司提供的一個附加服務，它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來，最終形成詳細的網路安全統計分析及趨勢預測，發布在網路上。它的URL地址是。
Attack
（攻擊） Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型： 攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流（flooding）耗盡系統資源等等。 攻擊類型2－DDOS（Distributed Denial of Service，分布式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊，卻無法發出足夠的信息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠程系統的資源，或者使其連接失效。 攻擊類型3－Smurf：這是一種老式的攻擊，但目前還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網路連接。 攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中，它原本是指那些以合法程序的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當用戶運行合法程序時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程式控制制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。
Automated Response
（自動響應） 除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦方式有很多：首先，可以通過重新配置路由器和防火牆，拒絕那些來自同一地址的信息流；其次，通過在網路上發送reset包切斷連接。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設備，其方法是：通過偽裝成一個友方的地址來發動攻擊，然後IDS就會配置路由器和防火牆來拒絕這些地址，這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路介面位於防火牆內，或者使用專門的發包程序，從而避開標准IP棧需求。
CERT
（Computer Emergency Response Team，計算機應急響應小組） 這個術語是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學，他們對計算機安全方面的事件做出反應、採取行動。現在許多組織都有了CERT，比如CNCERT/CC（中國計算機網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。
CIDF
（Common Intrusion Detection Framework；通用入侵檢測框架） CIDF力圖在某種程度上將入侵檢測標准化，開發一些協議和應用程序介面，以使入侵檢測的研究項目之間能夠共享信息和資源，並且入侵檢測組件也能夠在其它系統中再利用。
CIRT
（Computer Incident Response Team，計算機事件響應小組） CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。
CISL
（Common Intrusion Specification Language，通用入侵規范語言） CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標准化的嘗試，因此CISL就是對入侵檢測研究的語言進行標准化的嘗試。
CVE
（Common Vulnerabilities and Exposures，通用漏洞披露） 關於漏洞的一個老問題就是在設計掃描程序或應對策略時，不同的廠商對漏洞的稱謂也會完全不同。還有，一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中，這樣就給人一種錯覺，好像他們的產品更加有效。MITRE創建了CVE，將漏洞名稱進行標准化，參與的廠商也就順理成章按照這個標准開發IDS產品。
Crafting Packet
（自定義數據包） 建立自定義數據包，就可以避開一些慣用規定的數據包結構，從而製造數據包欺騙，或者使得收到它的計算機不知該如何處理它。
Desynchronization
（同步失效） Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建數據。這一技術在1998年很流行，現在已經過時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。
Eleet
當黑客編寫漏洞開發程序時，他們通常會留下一個簽名，其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字，它就是31337，而當它是指他們的能力時，elite=eleet，表示精英。31337通常被用做一個埠號或序列號。目前流行的詞是「skillz」。
Enumeration
（列舉） 經過被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會盡可能地悄悄進行。
Evasion
（躲避） Evasion是指發動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時間）值，這樣，經過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標，無害的部分就會被丟掉，只剩下有害的。
Exploit
（漏洞利用） 對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用代碼或教本。 對每個漏洞都會存在利用這個漏洞執行攻擊的方式，這個方式就是Exploit。為了攻擊系統，黑客會編寫出漏洞利用程序。 漏洞利用：Zero Day Exploit（零時間漏洞利用） 零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程序，並在IDS中寫入其特徵標識信息，使這個漏洞利用無效，有效地捕獲它。
False Negative
（漏報） 漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。 False Positives（誤報） 誤報是指實際無害的事件卻被IDS檢測為攻擊事件。 Firewalls（防火牆） 防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標准，如源地址、埠等，將危險連接阻擋在外。
FIRST
（Forum of Incident Response and Security Teams，事件響應和安全團隊論壇） FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟，一年一度的FIRST受到高度的重視。
Fragmentation

Ⅲ 什麼是入侵檢測

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。 入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。
入侵檢測技術
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統
入侵檢測技術的分類：
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1 ．特徵檢測：
特徵檢測 (Signature-based detection) 又稱 Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2 ．異常檢測：
異常檢測 (Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
入侵檢測系統的工作步驟
對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網路系統（包括程序、文件和硬體設備等）的任何變更，還能給網路安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網路安全。而且，入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後，會及時作出響應，包括切斷網路連接、記錄事件和報警等。
信息收集
入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。而且，需要在計算機網路系統中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，unix系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件（黑客隱藏了初試文件並用另一版本代替）。這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。
1.系統和網路日誌文件

黑客經常在系統日誌文件中留下他們的蹤跡，因此，充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件，能夠發現成功的入侵或入侵企圖，並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄「用戶活動」類型的日誌，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用，例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中，這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。
4. 物理形式的入侵信息
這包括兩個方面的內容，一是未授權的對網路硬體連接；二是對物理資源的未授權訪問。黑客會想方設法去突破網路的周邊防衛，如果他們能夠在物理上訪問內部網，就能安裝他們自己的設備和軟體。依此，黑客就可以知道網上的由用戶加上去的不安全（未授權）設備，然後利用這些設備訪問網路。例如，用戶在家裡可能安裝Modem以訪問遠程辦公室，與此同時黑客正在利用自動工具來識別在公共電話線上的Modem，如果一撥號訪問流量經過了這些自動工具，那麼這一撥號訪問就成為了威脅網路安全的後門。黑客就會利用這個後門來訪問內部網，從而越過了內部網路原有的防護措施，然後捕獲網路流量，進而攻擊其它系統，並偷取敏感的私有信息等等。
信號分析

對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
1. 模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。
2.統計分析
統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。
3.完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。盡管如此，完整性檢測方法還應該是網路安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網路系統進行全面地掃描檢查。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網路提供安全。
入侵檢測功能
·監督並分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理，判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在於：
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別並報告數據文件的改動
·發現系統配置的錯誤，必要時予以更正
·識別特定類型的攻擊，並向相應人員報警，以作出防禦反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望：這些產品並不是無所不能的，它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下，無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網路協議的漏洞
·不能彌補由於系統提供信息的質量或完整性的問題
·它們不能分析網路繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網路的硬體及特性
入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。從網路安全立體縱深、多層次防禦的角度出發，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內，隨著上網的關鍵部門、關鍵業務越來越多，迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品（缺乏升級和服務）階段，或者是防火牆中集成較為初級的入侵檢測模塊。可見，入侵檢測產品仍具有較大的發展空間，從技術途徑來講，我們認為，除了完善常規的、傳統的技術（模式識別和完整性檢測）外，應重點加強統計分析的相關技術研究

Ⅳ 入侵檢測系統的基本功能是什麼

入侵檢測系統的基本功能是對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

(4)網路入侵檢測系統如何工作擴展閱讀：

入侵檢測系統主為兩種技術一種是異常檢測，另一種是特徵檢測。

異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成

特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。

Ⅳ 入侵防護系統(IPS)的原理

IPS原理

防火牆是實施訪問控制策略的系統，對流經的網路流量進行檢查，攔截不符合安全策略的數據包。入侵檢測技術(IDS)通過監視網路或系統資源，尋找違反安全策略的行為或攻擊跡象，並發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量，但仍然允許某些流量通過，因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的，而不是主動的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS則傾向於提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中實現這一功能的，即通過一個網路埠接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個埠將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的後續數據包，都能在IPS設備中被清除掉。

IPS工作原理

IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之後，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定製的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查，不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一位元組地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保准確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，並將其解析至一個有意義的域中進行上下文分析，以提高過濾准確性。

過濾器引擎集合了流水和大規模並行處理硬體，能夠同時執行數千次的數據包過濾檢查。並行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義，因為傳統的軟體解決方案必須串列進行過濾檢查，會導致系統性能大打折扣。

IPS的種類

* 基於主機的入侵防護(HIPS)

HIPS通過在主機/伺服器上安裝軟體代理程序，防止網路攻擊入侵操作系統以及應用程序。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品，因此它們在防範紅色代碼和Nimda的攻擊中，起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

在技術上，HIPS採用獨特的伺服器保護途徑，利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護伺服器的敏感內容，既可以以軟體形式嵌入到應用程序對操作系統的調用當中，通過攔截針對操作系統的可疑調用，提供對主機的安全防護;也可以以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。

由於HIPS工作在受保護的主機/伺服器上，它不但能夠利用特徵和行為規則檢測，阻止諸如緩沖區溢出之類的已知攻擊，還能夠防範未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器操作系統平台緊密相關，不同的平台需要不同的軟體代理程序。

* 基於網路的入侵防護(NIPS)

NIPS通過檢測流經的網路流量，提供對網路系統的安全保護。由於它採用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網路會話，而不僅僅是復位會話。同樣由於實時在線，NIPS需要具備很高的性能，以免成為網路的瓶頸，因此NIPS通常被設計成類似於交換機的網路設備，提供線速吞吐速率以及多個網路埠。

NIPS必須基於特定的硬體平台，才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類：一類是網路處理器(網路晶元)，一類是專用的FPGA編程晶元，第三類是專用的ASIC晶元。

在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵，還要檢查當前網路的會話狀態，避免受到欺騙攻擊。

協議分析是一種較新的入侵檢測技術，它充分利用網路協議的高度有序性，並結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標准(如RFC)，還基於協議的具體實現，這是因為很多協議的實現偏離了協議標准。通過協議分析，IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

* 應用入侵防護(AIP)

NIPS產品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。AIP被設計成一種高性能的設備，配置在應用數據的網路鏈路上，以確保用戶遵守設定好的安全策略，保護伺服器的安全。NIPS工作在網路上，直接對數據包進行檢測和阻斷，與具體的主機/伺服器操作系統平台無關。

NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

IPS技術特徵

嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，並對該數據流的剩餘部分進行攔截。

深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截。

入侵特徵庫：高質量的入侵特徵庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特徵庫，並快速應用到所有感測器。

高效處理能力：IPS必須具有高效處理數據包的能力，對整個網路性能的影響保持在最低水平。

IPS面臨的挑戰

IPS 技術需要面對很多挑戰，其中主要有三點：一是單點故障，二是性能瓶頸，三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中，而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業網路提供的應用。

即使 IPS 設備不出現故障，它仍然是一個潛在的網路瓶頸，不僅會增加滯後時間，而且會降低網路的效率，IPS必須與數千兆或者更大容量的網路流量保持同步，尤其是當載入了數量龐大的檢測特徵庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS 產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。

誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理 36,000 條警報，一天就是 864,000 條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善，那麼"誤報"就有了可乘之機，導致合法流量也有可能被意外攔截。對於實時在線的IPS來說，一旦攔截了"攻擊性"數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此後該客戶所有重新連接到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。

IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術，二是採用專用硬體加速系統來提高IPS的運行效率。盡管如此，為了避免IPS重蹈IDS覆轍，廠商對IPS的態度還是十分謹慎的。例如，NAI提供的基於網路的入侵防護設備提供多種接入模式，其中包括旁路接入方式，在這種模式下運行的IPS實際上就是一台純粹的IDS設備，NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。

IPS的不足並不會成為阻止人們使用IPS的理由，因為安全功能的融合是大勢所趨，入侵防護順應了這一潮流。對於用戶而言，在廠商提供技術支持的條件下，有選擇地採用IPS，仍不失為一種應對攻擊的理想選擇。

Ⅵ 闖入監測識別系統的作用有哪些

人員闖入監測報警系統能監控區域內的人員闖入進行監測，當發現人員進入時，主動抓拍告警。

人員闖入監測報警系統

一直以來，在一些重要區域為了防止人員非法入侵和各種破壞活動，人們採用各種不同種類的防護措施。傳統的防範措施是在這些區域的外圍周界處設置一些鐵柵欄、圍牆、鋼絲籬笆網等屏障或阻擋物，安排人員加強巡邏等方式。

離異微信群，真實交友，信息保密
廣告
離異微信群，真實交友，信息保密
目前來看，傳統的防範手段已經難以適應安全保衛工作的需要，同時還存在一些不足，易受地形條件的限制，人的精力有限，不可能7*24小時全天候值守，無法適應日益增長的需求。

人員闖入監測報警系統

人員闖入監測報警系統基於智能視頻分析技術，通過安裝在現場的各類監控裝置，構建智能監控和防範體系，對監控區域進行7*24全天候監控，當發現有人員進入、徘徊時立即觸發報警，有效的協助管理人員處理，並最大限度地降低誤報和漏報現象，變被動「監督」為主動「監控」；同時還可以查看現場錄像，方便事後管理查詢。

基於智能視頻分析的人員闖入監測報警系統形成了事前預警、事中示警、事後取證的安防系統，真正提高了安防監控的預防功能；能夠及時主動發現人員入侵，將安防從被動監控轉變為主動監管，提升企業信息化管理水平，同時切實落實企業社會責任。

Ⅶ 簡述入侵檢測的過程

1.信息收集入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。

2.信號分析對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

具體的技術形式如下所述：

1).模式匹配

模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

2).統計分析

分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。

3).完整性分析

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。

3.實時記錄、報警或有限度反擊

IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。