主機入侵檢測_簡述入侵檢測常用的四種方法

1、"機箱入侵檢測"是什麼意思

主機入侵防禦系統HostIntrusion Prevent System 主機入侵防禦系統簡稱HIPS。
HIPS是一種能監控你電腦中文件的運行和文件運用了其他的文件以及文件對注冊表的修改，並向你報告請求允許的的軟體。如果你阻止了，那麼它將無法運行或者更改。比如你雙擊了一個病毒程序，HIPS軟體跳出來報告而你阻止了，那麼病毒還是沒有運行的。引用一句話：」病毒天天變種天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問題。」。

2、常用的入侵檢測軟體有哪些，舉4個以上的例子，謝謝啦

1.Snort：這是一個幾乎人人都喜愛的開源IDS，它採用靈活的基於規則的語言來描述通信，將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快，成為全球部署最為廣泛的入侵檢測技術，並成為防禦技術的標准。通過協議分析、內容查找和各種各樣的預處理程序，Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、埠掃描和各種可疑行為。在這里要注意，用戶需要檢查免費的BASE來分析Snort的警告。
2.OSSEC HIDS：這一個基於主機的開源入侵檢測系統，它可以執行日誌分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外，它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日誌分析引擎，互聯網供應商、大學和數據中心都樂意運行 OSSEC HIDS，以監視和分析其防火牆、IDS、Web伺服器和身份驗證日誌3.Fragroute/Fragrouter：是一個能夠逃避網路入侵檢測的工具箱，這是一個自分段的路由程序，它能夠截獲、修改並重寫發往一台特定主機的通信，可以實施多種攻擊，如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集，可以對發往某一台特定主機的數據包延遲發送，或復制、丟棄、分段、重疊、列印、記錄、源路由跟蹤等。嚴格來講，這個工具是用於協助測試網路入侵檢測系統的，也可以協助測試防火牆，基本的TCP/IP堆棧行為。可不要濫用這個軟體呵。
4.BASE：又稱基本的分析和安全引擎，BASE是一個基於PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火牆、網路監視工具所生成的安全事件數據。其特性包括一個查詢生成器並查找介面，這種介面能夠發現不同匹配模式的警告，還包括一個數據包查看器/解碼器，基於時間、簽名、協議、IP地址的統計圖表等。
5.Sguil：這是一款被稱為網路安全專家監視網路活動的控制台工具，它可以用於網路安全分析。其主要部件是一個直觀的GUI界面，可以從 Snort/barnyard提供實時的事件活動。還可藉助於其它的部件，實現網路安全監視活動和IDS警告的事件驅動分析。

3、簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(3)主機入侵檢測擴展資料

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

4、什麼叫做入侵檢測?入侵檢測系統的基本功能是什麼?

1. 入侵者進入我們的系統主要有三種方式：物理入侵、系統入侵、遠程入侵。

2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。

3. 入侵檢測系統由三個功能部分組成，它們分別是感應器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和

基於網路的入侵檢測系統。

5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。

6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。

二、選擇題

1. IDS產品相關的等級主要有(BCD)等三個等級：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS處理過程分為(ABCD )等四個階段。

A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段

3. 入侵檢測系統的主要功能有(ABCD )：

A: 監測並分析系統和用戶的活動

B: 核查系統配置和漏洞

C: 評估系統關鍵資源和數據文件的完整性。

D: 識別已知和未知的攻擊行為

4. IDS產品性能指標有(ABCD )：

A: 每秒數據流量

B: 每秒抓包數

C: 每秒能監控的網路連接數

D: 每秒能夠處理的事件數

5. 入侵檢測產品所面臨的挑戰主要有(ABCD )：

A: 黑客的入侵手段多樣化

B: 大量的誤報和漏報

C: 惡意信息採用加密的方法傳輸

D: 客觀的評估與測試信息的缺乏

三、判斷題

1. 有了入侵檢測系統以後，我們可以徹底獲得網路的安全。(F )

2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )

3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )

4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )

四、簡答題

1. 什麼是入侵檢測系統？簡述入侵檢測系統的作用？

答：入侵檢測系統（Intrusion Detection System,簡稱IDS）是進行入侵檢測的軟體與硬體的組合，事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。入侵檢測系統的作用主要是通過監控網路、系統的狀態，來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。

2. 比較一下入侵檢測系統與防火牆的作用。

答：防火牆在網路安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網路安全的第一道關卡。IDS是並聯在網路中，通過旁路監聽的方式實時地監視網路中的流量，對網路的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說，IDS是網路安全的第二道關卡，是防火牆的必要補充。

3. 簡述基於主機的入侵檢測系統的優缺點？

答：優點：①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境

④成本低

缺點：①它在一定程度上依靠系統的可靠性，要求系統本身具有基本的安全功能，才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外，根本不檢測網路上的情況

4. 簡述基於網路的入侵檢測系統的優缺點？

答：優點：①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊

缺點：①網路入侵檢測系統只能檢查它直接連接的網段的通信，不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法，只可以檢測出普通的一些攻擊，而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流，處理加密的會話過程比較困難。

5. 為什麼要對入侵檢測系統進行測試和評估？

答：①有助於更好地描述IDS的特徵。②通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估，確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果，可做出一些預測，推斷IDS發展的趨勢，估計風險，制定可實現的IDS質量目標(比如，可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果，對IDS進行改善。

6. 簡述IDS的發展趨勢？

答：①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向

5、什麼是機箱入侵檢測

6、比較基本網路和基於主機的入侵檢測系統的優缺點.

話劫持以及拒絕服務攻擊(DoS)都象瘟疫一般影響著無線區域網的安全。無線網路不但因為基於傳統有線網路TCP/IP架構而受到攻擊，還有可能受到基於電氣和電子工程師協會 (IEEE) 發行802.11標准本身的安全問題而受到威脅。為了更好的檢測和防禦這些潛在的威脅，無線區域網也使用了一種入侵檢測系統(IDS)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置IDS的解決方案。這篇文章將為你講述，為什麼需要無線入侵檢測系統，無線入侵檢測系統的優缺點等問題。

來自無線區域網的安全

無線區域網容易受到各種各樣的威脅。象802.11標準的加密方法和有線
對等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheling Algorithm of RC-4" 文檔里就說明了WEP key能在傳輸中通過暴力破解攻擊。即使WEP加密被用於無線區域網中，黑客也能通過解密得到關鍵數據。

黑客通過欺騙（rogue）WAP得到關鍵數據。無線區域網的用戶在不知情的情況下，以為自己通過很好的信號連入無線區域網，卻不知已遭到黑客的監聽了。隨著低成本和易於配置造成了現在的無線區域網的流行，許多用戶也可以在自己的傳統區域網架設無線基站(WAPs)，隨之而來的一些用戶在網路上安裝的後門程序，也造成了對黑客開放的不利環境。這正是沒有配置入侵檢測系統的組織機構開始考慮配置IDS的解決方案的原因。或許架設無線基站的傳統區域網用戶也同樣面臨著遭到黑客的監聽的威脅。

基於802.11標準的網路還有可能遭到拒絕服務攻擊(DoS)的威脅，從而使得無線區域網難於工作。無線通訊由於受到一些物理上的威脅會造成信號衰減，這些威脅包括：樹，建築物，雷雨和山峰等破壞無線通訊的物體。象微波爐，無線電話也可能威脅基於802.11標準的無線網路。黑客通過無線基站發起的惡意的拒絕服務攻擊(DoS)會造成系統重起。另外，黑客還能通過上文提到的欺騙WAP發送非法請求來干擾正常用戶使用無線區域網。

另外一種威脅無線區域網的是ever-increasing pace。這種威脅確實存在，並可能導致大范圍地破壞，這也正是讓802.11標准越來越流行的原因。對於這種攻擊，現在暫時還沒有好的防禦方法，但我們會在將來提出一個更好的解決方案。

入侵檢測

入侵檢測系統(IDS)通過分析網路中的傳輸數據來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今，入侵檢測系統已用於無線區域網，來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網路行為，對異常的網路流量進行報警。

無線入侵檢測系統同傳統的入侵檢測系統類似。但無線入侵檢測系統加入了一些無線區域網的檢測和對破壞系統反應的特性。

無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。如今，在市面上的流行的無線入侵檢測系統是Airdefense RogueWatch 和Airdefense Guard。象一些無線入侵檢測系統也得到了Linux 系統的支持。例如：自由軟體開放源代碼組織的Snort-Wireless 和WIDZ 。

架構

無線入侵檢測系統用於集中式和分散式兩種。集中式無線入侵檢測系統通常用於連接單獨的sensors ，搜集數據並轉發到存儲和處理數據的中央系統中。分散式無線入侵檢測系統通常包括多種設備來完成IDS的處理和報告功能。分散式無線入侵檢測系統比較適合較小規模的無線區域網，因為它價格便宜和易於管理。當過多的sensors需要時有著數據處理sensors花費將被禁用。所以，多線程的處理和報告的sensors管理比集中式無線入侵檢測系統花費更多的時間。

無線區域網通常被配置在一個相對大的場所。象這種情況，為了更好的接收信號，需要配置多個無線基站(WAPs)，在無線基站的位置上部署sensors，這樣會提高信號的覆蓋范圍。由於這種物理架構，大多數的黑客行為將被檢測到。另外的好處就是加強了同無線基站(WAPs)的距離，從而，能更好地定位黑客的詳細地理位置。

物理回應

物理定位是無線入侵檢測系統的一個重要的部分。針對802.11 的攻擊經常在接近下很快地執行，因此對攻擊的回應就是必然的了,象一些入侵檢測系統的一些行為封鎖非法的IP。就需要部署找出入侵者的IP,而且,一定要及時。不同於傳統的區域網，黑客可以攻擊的遠程網路,無線區域網的入侵者就在本地。通過無線入侵檢測系統就可以估算出入侵者的物理地址。通過802.11的sensor 數據分析找出受害者的,就可以更容易定位入侵者的地址。一旦確定攻擊者的目標縮小，特別反映小組就拿出Kismet或Airopeek根據入侵檢測系統提供的線索來迅速找出入侵者,

策略執行

無線入侵檢測系統不但能找出入侵者,它還能加強策略。通過使用強有力的策略,會使無線區域網更安全。

威脅檢測

無線入侵檢測系統不但能檢測出攻擊者的行為，還能檢測到rogue WAPS，識別出未加密的802.11標準的數據流量。

為了更好的發現潛在的 WAP 目標，黑客通常使用掃描軟體。Netstumbler 和Kismet這樣的軟體來。使用全球衛星定位系統（Global Positioning System ）來記錄他們的地理位置。這些工具正因為許多網站對WAP的地理支持而變的流行起來。

比探測掃描更嚴重的是，無線入侵檢測系統檢測到的DoS攻擊，DoS攻擊在網路上非常普遍。DoS攻擊都是因為建築物阻擋造成信號衰減而發生的。黑客也喜歡對無線區域網進行DoS攻擊。無線入侵檢測系統能檢測黑客的這種行為。象偽造合法用戶進行泛洪攻擊等。

除了上文的介紹，還有無線入侵檢測系統還能檢測到MAC地址欺騙。它是通過一種順序分析，找出那些偽裝WAP 的無線上網用戶。

無線入侵檢測系統的缺陷

雖然無線入侵檢測系統有很多優點，但缺陷也是同時存在的。因為無線入侵檢測系統畢竟是一門新技術。每個新技術在剛應用時都有一些bug，無線入侵檢測系統或許也存在著這樣的問題。隨著無線入侵檢測系統的飛速發展，關於這個問題也會慢慢解決。

結論

無線入侵檢測系統未來將會成為無線區域網中的一個重要的部分。雖然無線入侵檢測系統存在著一些缺陷，但總體上優大於劣。無線入侵檢測系統能檢測到的掃描，DoS攻擊和其他的802.11的攻擊，再加上強有力的安全策略，可以基本滿足一個無線區域網的安全問題。隨著無線區域網的快速發展，對無線區域網的攻擊也越來越多，需要一個這樣的系統也是非常必要的。

7、什麼是基於主機的入侵檢測系統，有什麼優缺點

　入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。

優點是：1、IDS是一種積極主動的安全防護技術。

2、實時監視系統。
3、在沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。

8、什麼是入侵檢測？

入侵檢測技術IDS是一種主動保護自己免受攻擊的一種網路安全技術。作為防火牆的合理補充，入侵檢測技術能夠幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。它可以防止或減輕上述的網路威脅。

導航:首頁 > IDC知識 > 主機入侵檢測

主機入侵檢測

與主機入侵檢測相關的知識