主机入侵检测系统

1、入侵检测系统的分类及功能

据其采用的技术可以分为异常检测和特征检测。（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成 （2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。 （3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。 根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 （2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 （3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。 根据工作方式分为离线检测系统与在线检测系统。（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。 （2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

2、入侵检测系统的分类是什么？

根据其采用的技术可以分为异常检测和特征检测。

（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成

（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。

（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。

根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。

（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。

根据工作方式分为离线检测系统与在线检测系统。

（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。

（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

3、比较基本网络和基于主机的入侵检测系统的优缺点.

话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁，无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述，为什么需要无线入侵检测系统，无线入侵检测系统的优缺点等问题。

来自无线局域网的安全

无线局域网容易受到各种各样的威胁。象802.11标准的加密方法和有线
对等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheling Algorithm of RC-4" 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中，黑客也能通过解密得到关键数据。

黑客通过欺骗（rogue）WAP得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站(WAPs)，随之而来的一些用户在网络上安装的后门程序，也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。

基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁，从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减，这些威胁包括：树，建筑物，雷雨和山峰等破坏无线通讯的物体。象微波炉，无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外，黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。

另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在，并可能导致大范围地破坏，这也正是让802.11标准越来越流行的原因。对于这种攻击，现在暂时还没有好的防御方法，但我们会在将来提出一个更好的解决方案。

入侵检测

入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今，入侵检测系统已用于无线局域网，来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。

无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。

无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。如今，在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如：自由软件开放源代码组织的Snort-Wireless 和WIDZ 。

架构

无线入侵检测系统用于集中式和分散式两种。集中式无线入侵检测系统通常用于连接单独的sensors ，搜集数据并转发到存储和处理数据的中央系统中。分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。分散式无线入侵检测系统比较适合较小规模的无线局域网，因为它价格便宜和易于管理。当过多的sensors需要时有着数据处理sensors花费将被禁用。所以，多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。

无线局域网通常被配置在一个相对大的场所。象这种情况，为了更好的接收信号，需要配置多个无线基站(WAPs)，在无线基站的位置上部署sensors，这样会提高信号的覆盖范围。由于这种物理架构，大多数的黑客行为将被检测到。另外的好处就是加强了同无线基站(WAPs)的距离，从而，能更好地定位黑客的详细地理位置。

物理回应

物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行，因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网，黑客可以攻击的远程网络,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。通过802.11的sensor 数据分析找出受害者的,就可以更容易定位入侵者的地址。一旦确定攻击者的目标缩小，特别反映小组就拿出Kismet或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者,

策略执行

无线入侵检测系统不但能找出入侵者,它还能加强策略。通过使用强有力的策略,会使无线局域网更安全。

威胁检测

无线入侵检测系统不但能检测出攻击者的行为，还能检测到rogue WAPS，识别出未加密的802.11标准的数据流量。

为了更好的发现潜在的 WAP 目标，黑客通常使用扫描软件。Netstumbler 和Kismet这样的软件来。使用全球卫星定位系统（Global Positioning System ）来记录他们的地理位置。这些工具正因为许多网站对WAP的地理支持而变的流行起来。

比探测扫描更严重的是，无线入侵检测系统检测到的DoS攻击，DoS攻击在网络上非常普遍。DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。黑客也喜欢对无线局域网进行DoS攻击。无线入侵检测系统能检测黑客的这种行为。象伪造合法用户进行泛洪攻击等。

除了上文的介绍，还有无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析，找出那些伪装WAP 的无线上网用户。

无线入侵检测系统的缺陷

虽然无线入侵检测系统有很多优点，但缺陷也是同时存在的。因为无线入侵检测系统毕竟是一门新技术。每个新技术在刚应用时都有一些bug，无线入侵检测系统或许也存在着这样的问题。随着无线入侵检测系统的飞速发展，关于这个问题也会慢慢解决。

结论

无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。虽然无线入侵检测系统存在着一些缺陷，但总体上优大于劣。无线入侵检测系统能检测到的扫描，DoS攻击和其他的802.11的攻击，再加上强有力的安全策略，可以基本满足一个无线局域网的安全问题。随着无线局域网的快速发展，对无线局域网的攻击也越来越多，需要一个这样的系统也是非常必要的。

4、什么是入侵检测系统

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。Venustech(启明星辰）、Internet Security System（ISS）、思科、赛门铁克等公司都推出了自己的产品。

5、什么是基于主机的入侵检测系统，有什么优缺点

　入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

优点是：1、IDS是一种积极主动的安全防护技术。

2、实时监视系统。
3、在没有跨接在任何链路上，无须网络流量流经它便可以工作。

6、入侵检测系统的分类？

根据其采用的技术可以分为异常检测和特征检测。

（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成

（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。

（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。

根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。

（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。

根据工作方式分为离线检测系统与在线检测系统。

（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。

（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

7、什么叫做入侵检测?入侵检测系统的基本功能是什么?

1. 入侵者进入我们的系统主要有三种方式： 物理入侵 、系统入侵、远程入侵。

2. 入侵检测系统是进行入侵检测的软件与硬件的组合。

3. 入侵检测系统由三个功能部分组成，它们分别是感应器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和

基于网络的入侵检测系统。

5. 入侵检测系统根据工作方式分为在线检测系统和离线检测系统。

6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。

二、选择题

1. IDS产品相关的等级主要有(BCD)等三个等级：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS处理过程分为(ABCD )等四个阶段。

A: 数据采集阶段 B: 数据处理及过滤阶段 C: 入侵分析及检测阶段 D: 报告以及响应阶段

3. 入侵检测系统的主要功能有(ABCD )：

A: 监测并分析系统和用户的活动

B: 核查系统配置和漏洞

C: 评估系统关键资源和数据文件的完整性。

D: 识别已知和未知的攻击行为

4. IDS产品性能指标有(ABCD )：

A: 每秒数据流量

B: 每秒抓包数

C: 每秒能监控的网络连接数

D: 每秒能够处理的事件数

5. 入侵检测产品所面临的挑战主要有(ABCD )：

A: 黑客的入侵手段多样化

B: 大量的误报和漏报

C: 恶意信息采用加密的方法传输

D: 客观的评估与测试信息的缺乏

三、判断题

1. 有了入侵检测系统以后，我们可以彻底获得网络的安全。(F )

2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。( T )

3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F )

4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T )

四、简答题

1. 什么是入侵检测系统？简述入侵检测系统的作用？

答：入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合，事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。 入侵检测系统的作用主要是通过监控网络、系统的状态，来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。

2. 比较一下入侵检测系统与防火墙的作用。

答：防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道关卡。IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道关卡，是防火墙的必要补充。

3. 简述基于主机的入侵检测系统的优缺点？

答：优点：①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境

④成本低

缺点：①它在一定程度上依靠系统的可靠性，要求系统本身具有基本的安全功能，才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外，根本不检测网络上的情况

4. 简述基于网络的入侵检测系统的优缺点？

答：优点：①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击

缺点：①网络入侵检测系统只能检查它直接连接的网段的通信，不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法，只可以检测出普通的一些攻击，而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流，处理加密的会话过程比较困难。

5. 为什么要对入侵检测系统进行测试和评估？

答：①有助于更好地描述IDS的特征。②通过测试评估，可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估，确定IDS的性能级别及其对运行环境的影响。③利用测试和评估结果，可做出一些预测，推断IDS发展的趋势，估计风险，制定可实现的IDS质量目标(比如，可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果，对IDS进行改善。

6. 简述IDS的发展趋势？

答：①分布式②智能化③防火墙联动功能以及全面的安全防御方案④标准化方向

8、基于主机入侵检测系统的介绍

出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在这样的环境里，检查可疑行为的审计记录相对比较容易，况且在当时入侵行为非常少，通过对攻击的事后分析就可以防止随后的攻击。

9、入侵检测系统可以分为哪几类？

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS最早出现在1980年4月。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

(9)主机入侵检测系统扩展资料：

对IDS的要求：

IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。