主機入侵檢測系統

1、入侵檢測系統的分類及功能

據其採用的技術可以分為異常檢測和特徵檢測。（1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成 （2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。 （3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。 根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。（1）基於主機的入侵檢測系統：通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。 （2）基於網路的入侵檢測系統：基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。 （3）分布式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包，不同的是，它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網路流量有一定的影響。 根據工作方式分為離線檢測系統與在線檢測系統。（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。 （2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網路數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

2、入侵檢測系統的分類是什麼？

根據其採用的技術可以分為異常檢測和特徵檢測。

（1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成

（2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。

（3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。

根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。

（1）基於主機的入侵檢測系統：通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。

（2）基於網路的入侵檢測系統：基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。

（3）分布式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包，不同的是，它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網路流量有一定的影響。

根據工作方式分為離線檢測系統與在線檢測系統。

（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。

（2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網路數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

3、比較基本網路和基於主機的入侵檢測系統的優缺點.

話劫持以及拒絕服務攻擊(DoS)都象瘟疫一般影響著無線區域網的安全。無線網路不但因為基於傳統有線網路TCP/IP架構而受到攻擊，還有可能受到基於電氣和電子工程師協會 (IEEE) 發行802.11標准本身的安全問題而受到威脅。為了更好的檢測和防禦這些潛在的威脅，無線區域網也使用了一種入侵檢測系統(IDS)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置IDS的解決方案。這篇文章將為你講述，為什麼需要無線入侵檢測系統，無線入侵檢測系統的優缺點等問題。

來自無線區域網的安全

無線區域網容易受到各種各樣的威脅。象802.11標準的加密方法和有線
對等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheling Algorithm of RC-4" 文檔里就說明了WEP key能在傳輸中通過暴力破解攻擊。即使WEP加密被用於無線區域網中，黑客也能通過解密得到關鍵數據。

黑客通過欺騙（rogue）WAP得到關鍵數據。無線區域網的用戶在不知情的情況下，以為自己通過很好的信號連入無線區域網，卻不知已遭到黑客的監聽了。隨著低成本和易於配置造成了現在的無線區域網的流行，許多用戶也可以在自己的傳統區域網架設無線基站(WAPs)，隨之而來的一些用戶在網路上安裝的後門程序，也造成了對黑客開放的不利環境。這正是沒有配置入侵檢測系統的組織機構開始考慮配置IDS的解決方案的原因。或許架設無線基站的傳統區域網用戶也同樣面臨著遭到黑客的監聽的威脅。

基於802.11標準的網路還有可能遭到拒絕服務攻擊(DoS)的威脅，從而使得無線區域網難於工作。無線通訊由於受到一些物理上的威脅會造成信號衰減，這些威脅包括：樹，建築物，雷雨和山峰等破壞無線通訊的物體。象微波爐，無線電話也可能威脅基於802.11標準的無線網路。黑客通過無線基站發起的惡意的拒絕服務攻擊(DoS)會造成系統重起。另外，黑客還能通過上文提到的欺騙WAP發送非法請求來干擾正常用戶使用無線區域網。

另外一種威脅無線區域網的是ever-increasing pace。這種威脅確實存在，並可能導致大范圍地破壞，這也正是讓802.11標准越來越流行的原因。對於這種攻擊，現在暫時還沒有好的防禦方法，但我們會在將來提出一個更好的解決方案。

入侵檢測

入侵檢測系統(IDS)通過分析網路中的傳輸數據來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今，入侵檢測系統已用於無線區域網，來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網路行為，對異常的網路流量進行報警。

無線入侵檢測系統同傳統的入侵檢測系統類似。但無線入侵檢測系統加入了一些無線區域網的檢測和對破壞系統反應的特性。

無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。如今，在市面上的流行的無線入侵檢測系統是Airdefense RogueWatch 和Airdefense Guard。象一些無線入侵檢測系統也得到了Linux 系統的支持。例如：自由軟體開放源代碼組織的Snort-Wireless 和WIDZ 。

架構

無線入侵檢測系統用於集中式和分散式兩種。集中式無線入侵檢測系統通常用於連接單獨的sensors ，搜集數據並轉發到存儲和處理數據的中央系統中。分散式無線入侵檢測系統通常包括多種設備來完成IDS的處理和報告功能。分散式無線入侵檢測系統比較適合較小規模的無線區域網，因為它價格便宜和易於管理。當過多的sensors需要時有著數據處理sensors花費將被禁用。所以，多線程的處理和報告的sensors管理比集中式無線入侵檢測系統花費更多的時間。

無線區域網通常被配置在一個相對大的場所。象這種情況，為了更好的接收信號，需要配置多個無線基站(WAPs)，在無線基站的位置上部署sensors，這樣會提高信號的覆蓋范圍。由於這種物理架構，大多數的黑客行為將被檢測到。另外的好處就是加強了同無線基站(WAPs)的距離，從而，能更好地定位黑客的詳細地理位置。

物理回應

物理定位是無線入侵檢測系統的一個重要的部分。針對802.11 的攻擊經常在接近下很快地執行，因此對攻擊的回應就是必然的了,象一些入侵檢測系統的一些行為封鎖非法的IP。就需要部署找出入侵者的IP,而且,一定要及時。不同於傳統的區域網，黑客可以攻擊的遠程網路,無線區域網的入侵者就在本地。通過無線入侵檢測系統就可以估算出入侵者的物理地址。通過802.11的sensor 數據分析找出受害者的,就可以更容易定位入侵者的地址。一旦確定攻擊者的目標縮小，特別反映小組就拿出Kismet或Airopeek根據入侵檢測系統提供的線索來迅速找出入侵者,

策略執行

無線入侵檢測系統不但能找出入侵者,它還能加強策略。通過使用強有力的策略,會使無線區域網更安全。

威脅檢測

無線入侵檢測系統不但能檢測出攻擊者的行為，還能檢測到rogue WAPS，識別出未加密的802.11標準的數據流量。

為了更好的發現潛在的 WAP 目標，黑客通常使用掃描軟體。Netstumbler 和Kismet這樣的軟體來。使用全球衛星定位系統（Global Positioning System ）來記錄他們的地理位置。這些工具正因為許多網站對WAP的地理支持而變的流行起來。

比探測掃描更嚴重的是，無線入侵檢測系統檢測到的DoS攻擊，DoS攻擊在網路上非常普遍。DoS攻擊都是因為建築物阻擋造成信號衰減而發生的。黑客也喜歡對無線區域網進行DoS攻擊。無線入侵檢測系統能檢測黑客的這種行為。象偽造合法用戶進行泛洪攻擊等。

除了上文的介紹，還有無線入侵檢測系統還能檢測到MAC地址欺騙。它是通過一種順序分析，找出那些偽裝WAP 的無線上網用戶。

無線入侵檢測系統的缺陷

雖然無線入侵檢測系統有很多優點，但缺陷也是同時存在的。因為無線入侵檢測系統畢竟是一門新技術。每個新技術在剛應用時都有一些bug，無線入侵檢測系統或許也存在著這樣的問題。隨著無線入侵檢測系統的飛速發展，關於這個問題也會慢慢解決。

結論

無線入侵檢測系統未來將會成為無線區域網中的一個重要的部分。雖然無線入侵檢測系統存在著一些缺陷，但總體上優大於劣。無線入侵檢測系統能檢測到的掃描，DoS攻擊和其他的802.11的攻擊，再加上強有力的安全策略，可以基本滿足一個無線區域網的安全問題。隨著無線區域網的快速發展，對無線區域網的攻擊也越來越多，需要一個這樣的系統也是非常必要的。

4、什麼是入侵檢測系統

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。 IDS最早出現在1980年4月。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。

IDS是計算機的監視系統，它通過實時監視系統，一旦發現異常情況就發出警告。IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類：根據信息來源可分為基於主機IDS和基於網路的IDS，根據檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是：伺服器區域的交換機上；Internet接入路由器之後的第一台交換機上；重點保護網段的區域網交換機上。由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。Venustech(啟明星辰）、Internet Security System（ISS）、思科、賽門鐵克等公司都推出了自己的產品。

5、什麼是基於主機的入侵檢測系統，有什麼優缺點

　入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。

優點是：1、IDS是一種積極主動的安全防護技術。

2、實時監視系統。
3、在沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。

6、入侵檢測系統的分類？

根據其採用的技術可以分為異常檢測和特徵檢測。

（1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成

（2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。

（3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。

根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。

（1）基於主機的入侵檢測系統：通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。

（2）基於網路的入侵檢測系統：基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。

（3）分布式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包，不同的是，它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網路流量有一定的影響。

根據工作方式分為離線檢測系統與在線檢測系統。

（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。

（2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網路數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

7、什麼叫做入侵檢測?入侵檢測系統的基本功能是什麼?

1. 入侵者進入我們的系統主要有三種方式： 物理入侵 、系統入侵、遠程入侵。

2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。

3. 入侵檢測系統由三個功能部分組成，它們分別是感應器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和

基於網路的入侵檢測系統。

5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。

6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。

二、選擇題

1. IDS產品相關的等級主要有(BCD)等三個等級：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS處理過程分為(ABCD )等四個階段。

A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段

3. 入侵檢測系統的主要功能有(ABCD )：

A: 監測並分析系統和用戶的活動

B: 核查系統配置和漏洞

C: 評估系統關鍵資源和數據文件的完整性。

D: 識別已知和未知的攻擊行為

4. IDS產品性能指標有(ABCD )：

A: 每秒數據流量

B: 每秒抓包數

C: 每秒能監控的網路連接數

D: 每秒能夠處理的事件數

5. 入侵檢測產品所面臨的挑戰主要有(ABCD )：

A: 黑客的入侵手段多樣化

B: 大量的誤報和漏報

C: 惡意信息採用加密的方法傳輸

D: 客觀的評估與測試信息的缺乏

三、判斷題

1. 有了入侵檢測系統以後，我們可以徹底獲得網路的安全。(F )

2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )

3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )

4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )

四、簡答題

1. 什麼是入侵檢測系統？簡述入侵檢測系統的作用？

答：入侵檢測系統（Intrusion Detection System,簡稱IDS）是進行入侵檢測的軟體與硬體的組合，事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。 入侵檢測系統的作用主要是通過監控網路、系統的狀態，來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。

2. 比較一下入侵檢測系統與防火牆的作用。

答：防火牆在網路安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網路安全的第一道關卡。IDS是並聯在網路中，通過旁路監聽的方式實時地監視網路中的流量，對網路的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說，IDS是網路安全的第二道關卡，是防火牆的必要補充。

3. 簡述基於主機的入侵檢測系統的優缺點？

答：優點：①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境

④成本低

缺點：①它在一定程度上依靠系統的可靠性，要求系統本身具有基本的安全功能，才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外，根本不檢測網路上的情況

4. 簡述基於網路的入侵檢測系統的優缺點？

答：優點：①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊

缺點：①網路入侵檢測系統只能檢查它直接連接的網段的通信，不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法，只可以檢測出普通的一些攻擊，而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流，處理加密的會話過程比較困難。

5. 為什麼要對入侵檢測系統進行測試和評估？

答：①有助於更好地描述IDS的特徵。②通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估，確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果，可做出一些預測，推斷IDS發展的趨勢，估計風險，制定可實現的IDS質量目標(比如，可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果，對IDS進行改善。

6. 簡述IDS的發展趨勢？

答：①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向

8、基於主機入侵檢測系統的介紹

出現在20世紀80年代初期，那時網路規模還比較小，而且網路之間也沒有完全互連。在這樣的環境里，檢查可疑行為的審計記錄相對比較容易，況且在當時入侵行為非常少，通過對攻擊的事後分析就可以防止隨後的攻擊。

9、入侵檢測系統可以分為哪幾類？

分為兩類：

1、信息來源一類：基於主機IDS和基於網路的IDS。

2、檢測方法一類：異常入侵檢測和誤用入侵檢測。

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

IDS最早出現在1980年4月。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。

(9)主機入侵檢測系統擴展資料：

對IDS的要求：

IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。

因此，IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是：伺服器區域的交換機上；Internet接入路由器之後的第一台交換機上；重點保護網段的區域網交換機上。由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。