入侵检测工具入侵检测的信息收集

什么是入侵检测，以及入侵检测的系统结构组成？

入侵检测（Intrusion Detection）是对入侵行为的检测。

它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。

入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

　　入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现： 　　· 监视、分析用户及系统活动； 　　· 系统构造和弱点的审计； 　　· 识别反映已知进攻的活动模式并向相关人士报警； 　　· 异常行为模式的统计分析； 　　· 评估重要系统和数据文件的完整性； 　　· 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

　　对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

编辑本段分类情况 　　入侵检测系统所采用的技术可分为特征检测与异常检测两种。

特征检测 　　特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测 　　异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。

根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

编辑本段工作步骤 　　对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

编辑本段常用术语 　　随着IDS（入侵检测系统）的超速发展，与之相关的术语同样急剧演变。

本文向大家介绍一些IDS技术术语，其中一些是非常基本并相对通用的，而另一些则有些生僻。

由于IDS的飞速发展以及一些IDS产商的市场影响力，不同的产商可能会用同一个术语表示不同的意义，从而导致某些术语的确切意义出现了混乱。

对此，本文会试图将所有的术语都囊括进来。

Alert 　　（警报） 　　当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员。

如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示。

如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员。

Anomaly 　　（异常） 　　当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警。

一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时 入侵检测图片(2) ，IDS就会告警，例如有人做了以前他没有做过的事情的时候，例如，一个用户突然获取了管理员或根目录的权限。

有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能。

Appliance 　　（IDS硬件） 　　除了那些要安装到现有系统上去的IDS软件外，在市场的货架上还可以买到一些现成的IDS硬件，只需将它们接入网络中就可以应用。

一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。

ArachNIDS 　　ArachNIDS是由Max Visi开发的一个攻击特征数据库，它是动态更新的，适用于多种基于网络的入侵检测系统。

　　ARIS：Attack Registry & Intelligence Service（攻击事件注册及智能服务） 　　ARIS是SecurityFocus公司提供的一个附加服务，它允许用户以网络匿名方式连接到上向SecurityFocus报送网络安全事件，随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来，最终形成详细的网络安全统计分析及趋势预测，发布在网络上。

它的URL地址是。

Attack 　　（攻击） 　　Attacks可以理解为试图渗透系统或绕过系统的安全策略，以获取信息、修改信息以及破坏目标网络或系统功能的行为。

以下列出IDS能够检测出的最常见的攻击类型： 　　攻击类型1－DOS（Denial Of Service attack，拒绝服务攻击）：DOS攻击不是通过黑客手段破坏一个系统的安全，它只是使系统瘫痪，使系统拒绝向其用户提供服务。

其种类包括缓冲区溢出、通过洪流（flooding）耗尽系统资源等等。

　　攻击类型2－DDOS（Distributed Denial of Service，分布式拒绝服务攻击）：一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击，却无法发出足够的信息包来达到理想的结果，因此就产生了DDOS，即从多个分散的主机一个目标发动攻击，耗尽远程系统的资源，或者使其连接失效。

　　攻击类型3－Smurf：这是一种老式的攻击，但目前还时有发生，攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作，然后所有活动主机都会向该目标应答，从而中断网络连接。

　　攻击类型4－Trojans（特洛伊木马）：Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马，木马中藏有希腊士兵，当木马运到城里，士兵就涌出木马向这个城市及其居民发起攻击。

在计算机术语中，它原本是指那些以合法程序的形式出现，其实包藏了恶意软件的那些软件。

这样，当用户运行合法程序时，在不知情的情况下，恶意软件就被安装了。

但是由于多数以这种形式安装的恶意程序都是远程控制工具，Trojan这个术语很快就演变为专指这类工具，例如BackOrifice、SubSeven、NetBus等等。

Automated Response 　　（自动响应） 　　除了对攻击发出警报，有些IDS还能自动抵御这些攻击。

抵御方式有很多：首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流；其次，通过在网络上发送reset包切断连接。

但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了。

发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求。

CERT 　　（Computer Emergency Response Team，计算机应急响应小组） 　　这个术语是由第一支计算机应急反映小组选择的，这支团队建立在Carnegie Mellon大学，他们对计算机安全方面的事件做出反应、采取行动。

现在许多组织都有了CERT，比如CNCERT/CC（中国计算机网络应急处理协调中心）。

由于emergency这个词有些不够明确，因此许多组织都用Incident这个词来取代它，产生了新词Computer Incident Response Team（CIRT），即计算机事件反应团队。

response这个词有时也用handling来代替，其含义是response表示紧急行动，而非长期的研究。

CIDF 　　（Common Intrusion Detection Framework；通用入侵检测框架） 　　CIDF力图在某种程度上将入侵检测标准化，开发一些协议和应用程序接口，以使入侵检测的研究项目之间能够共享信息和资源，并且入侵检测组件也能够在其它系统中再利用。

CIRT 　　（Computer Incident Response Team，计算机事件响应小组） 　　CIRT是从CERT演变而来的，CIRT代表了对安全事件在哲学认识上的改变。

CERT最初是专门针对特定的计算机紧急情况的，而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。

CISL 　　（Common Intrusion Specification Language，通用入侵规范语言） 　　CISL是CIDF组件间彼此通信的语言。

由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试。

CVE 　　（Common Vulnerabilities and Exposures，通用漏洞披露） 　　关于漏洞的一个老问题就是在设计扫描程序或应对策略时，不同的厂商对漏洞的称谓也会完全不同。

还有，一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中，这样就给人一种错觉，好像他们的产品更加有效。

MITRE创建了CVE，将漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发IDS产品。

Crafting Packet 　　（自定义数据包） 　　建立自定义数据包，就可以避开一些惯用规定的数据包结构，从而制造数据包欺骗，或者使得收到它的计算机不知该如何处理它。

Desynchronization 　　（同步失效） 　　Desynchronization这个术语本来是指用序列数逃避IDS的方法。

有些IDS可能会对它本来期望得到的序列数感到迷惑，从而导致无法重新构建数据。

这一技术在1998年很流行，现在已经过时了，有些文章把desynchronization这个术语代指其它IDS逃避方法。

Eleet 　　当黑客编写漏洞开发程序时，他们通常会留下一个签名，其中最声名狼藉的一个就是elite。

如果将eleet转换成数字，它就是31337，而当它是指他们的能力时，elite=eleet，表示精英。

31337通常被用做一个端口号或序列号。

目前流行的词是“skillz”。

Enumeration 　　（列举） 　　经过被动研究和社会工程学的工作后，攻击者就会开始对网络资源进行列举。

列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。

由于现在的行动不再是被动的，它就有可能被检测出来。

当然为了避免被检测到，他们会尽可能地悄悄进行。

Evasion 　　（躲避） 　　Evasion是指发动一次攻击，而又不被IDS成功地检测到。

其中的窍门就是让IDS只看到一个方面，而实际攻击的却是另一个目标，所谓明修栈道，暗渡陈仓。

Evasion的一种形式是为不同的信息包设置不同的TTL（有效时间）值，这样，经过IDS的信息看起来好像是无害的，而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。

一旦经过了IDS并接近目标，无害的部分就会被丢掉，只剩下有害的。

Exploit 　　（漏洞利用） 　　对于每一个漏洞，都有利用此漏洞进行攻击的机制。

为了攻击系统，攻击者编写出漏洞利用代码或教本。

　　对每个漏洞都会存在利用这个漏洞执行攻击的方式，这个方式就是Exploit。

为了攻击系统，黑客会编写出漏洞利用程序。

　　漏洞利用：Zero Day Exploit（零时间漏洞利用） 　　零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用，也就是说这种类型的漏洞利用当前还没有被发现。

一旦一个漏洞利用被网络安全界发现，很快就会出现针对它的补丁程序，并在IDS中写入其特征标识信息，使这个漏洞利用无效，有效地捕获它。

False Negative 　　（漏报） 　　漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。

　　False Positives（误报） 　　误报是指实际无害的事件却被IDS检测为攻击事件。

　　Firewalls（防火墙） 　　防火墙是网络安全的第一道关卡，虽然它不是IDS，但是防火墙日志可以为IDS提供宝贵信息。

防火墙工作的原理是根据规则或标准，如源地址、端口等，将危险连接阻挡在外。

FIRST 　　（Forum of Incident Response and Security Teams，事件响应和安全团队论坛） 　　FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟，一年一度的FIRST受到高度的重视。

Fragmentation

常用的入侵检测软件有哪些，举4个以上的例子，谢谢啦

1.Snort：这是一个几乎人人都喜爱的开源IDS，它采用灵活的基于规则的语言来描述通信，将签名、协议和不正常行为的检测方法结合起来。

其更新速度极快，成为全球部署最为广泛的入侵检测技术，并成为防御技术的标准。

通过协议分析、内容查找和各种各样的预处理程序，Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。

在这里要注意，用户需要检查免费的BASE来分析Snort的警告。

2.OSSEC HIDS：这一个基于主机的开源入侵检测系统，它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。

除了其IDS的功能之外，它通常还可以被用作一个SEM/SIM解决方案。

因为其强大的日志分析引擎，互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS，以监视和分析其防火墙、IDS、Web服务器和身份验证日志3.Fragroute/Fragrouter：是一个能够逃避网络入侵检测的工具箱，这是一个自分段的路由程序，它能够截获、修改并重写发往一台特定主机的通信，可以实施多种攻击，如插入、逃避、拒绝服务攻击等。

它拥有一套简单的规则集，可以对发往某一台特定主机的数据包延迟发送，或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。

严格来讲，这个工具是用于协助测试网络入侵检测系统的，也可以协助测试防火墙，基本的TCP/IP堆栈行为。

可不要滥用这个软件呵。

4.BASE：又称基本的分析和安全引擎，BASE是一个基于PHP的分析引擎，它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。

其特性包括一个查询生成器并查找接口，这种接口能够发现不同匹配模式的警告，还包括一个数据包查看器/解码器，基于时间、签名、协议、IP地址的统计图表等。

5.Sguil：这是一款被称为网络安全专家监视网络活动的控制台工具，它可以用于网络安全分析。

其主要部件是一个直观的GUI界面，可以从 Snort/barnyard提供实时的事件活动。

还可借助于其它的部件，实现网络安全监视活动和IDS警告的事件驱动分析。

什么叫入侵检测？

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现： · 监视、分析用户及系统活动； · 系统构造和弱点的审计； · 识别反映已知进攻的活动模式并向相关人士报警； · 异常行为模式的统计分析； · 评估重要系统和数据文件的完整性； · 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。

而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。

因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。

黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。

例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。

这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

入侵检测利用的信息一般来自以下四个方面： 1.系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。

日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。

通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。

日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。

很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。

目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。

黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。

每个在系统上执行的程序由一到多个进程来实现。

每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。

一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。

操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。

黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息 这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。

黑客会想方设法去突破网络的周边防卫，如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件。

依此，黑客就可以知道网上的由用户加上去的不安全（未授权）设备，然后利用这些设备访问网络。

例如，用户在家里可能安装Modem以访问远程办公室，与此同时黑客正在利用自动工具来识别在公共电话线上的Modem，如果一拨号访问流量经过了这些自动工具，那么这一拨号访问就成为了威胁网络安全的后门。

黑客就会利用这个后门来访问内部网，从而越过了内部网络原有的防护措施，然后捕获网络流量，进而攻击其它系统，并偷取敏感的私有信息等等。

信号分析 对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。

一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。

该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。

它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。

但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

2.统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。

例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。

其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

3.完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。

其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。

缺点是一般以批处理方式实现，不用于实时响应。

尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。

例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。

它是计算机网络上自动实时的入侵检测和响应系统。

它无妨碍地监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而最大程度地为企业网络提供安全。

入侵检测功能 ·监督并分析用户和系统的活动 ·检查系统配置和漏洞 ·检查关键系统和数据文件的完整性 ·识别代表已知攻击的活动模式 ·对反常行为模式的统计分析 ·对操作系统的校验管理，判断是否有破坏安全的用户活动。

·入侵检测系统和漏洞评估工具的优点在于： ·提高了信息安全体系其它部分的完整性 ·提高了系统的监察能力 ·跟踪用户从进入到退出的所有活动或影响 ·识别并报告数据文件的改动 ·发现系统配置的错误，必要时予以更正 ·识别特定类型的攻击，并向相应人员报警，以作出防御反应 ·可使系统管理人员最新的版本升级添加到程序中 ·允许非专家人员从事系统安全工作 ·为信息安全策略的创建提供指导 ·必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制 ·在无人干预的情况下，无法执行对攻击的检查 ·无法感知公司安全策略的内容 ·不能弥补网络协议的漏洞 ·不能弥补由于系统提供信息的质量或完整性的问题 ·它们不能分析网络繁忙时所有事务 ·它们不能总是对数据包级的攻击进行处理 ·它们不能应付现代网络的硬件及特性 入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。

在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。

但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。

可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。

入侵检测哪一种比较好啊?

入侵检测系统（Intrusion Detection Syetem），简称IDS。

即对入侵行为的检测。

它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

进行入侵检测的软件与硬件的组合便是IDS。

简单说 入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。

入侵检测系统(IDS，Intrusion Detection Systems)。

专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

　　在本质上，入侵检测系统是一个典型的"窥探设备"。

它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。

入侵检测系统的分类： 1.基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。

它通过监视和分析主机的审计记录和日志文件，来检测入侵日志中包含发生在系统上的不寻常和不期望活动的证据，可以指出有人正在入侵或已成功入侵了系统。

通过查看日志文件，能够发现成功的入侵或入侵企图，并很快的启动相应的应急响应程序。

2.基于网络的入侵监测系统：主要用户实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可以现象。

入侵检测系统的分类及功能

据其采用的技术可以分为异常检测和特征检测。

（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。

通过检测系统的行为或使用情况的变化来完成 （2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。

（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。

根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。

（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。

能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。

这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。

它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。

即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。

黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。

集中安全管理中心是整个分布式入侵检测系统面向用户的界面。

它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。

根据工作方式分为离线检测系统与在线检测系统。

（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。

事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。

事后入侵检测是管理员定期或不定期进行的，不具有实时性。

（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。

其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。

这个检测过程是不断循环进行的。

入侵检测的信息收集

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。

而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。

因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。

黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。

例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。

这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

入侵检测利用的信息一般来自以下四个方面： 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。

每个在系统上执行的程序由一到多个进程来实现。

每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。

一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。

操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。

黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。

其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。

缺点是一般以批处理方式实现，不用于实时响应。

尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。

例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。

它是计算机网络上自动实时的入侵检测和响应系统。

它无妨碍地监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而最大程度地为企业网络提供安全。