一、IDS是什么

IDS（intrusion detection system）入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護(hù)技術(shù)。在很多中大型企業(yè)，政府機構(gòu)，都會布有IDS。我們做一個比喻——假如防火墻是一幢大廈的門鎖，那么IDS就是這幢大廈里的監(jiān)視系統(tǒng)。一旦小偷進(jìn)入了大廈，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

專業(yè)上講IDS就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。與防火墻不同的是，IDS入侵檢測系統(tǒng)是一個旁路監(jiān)聽設(shè)備，沒有也不需要跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署的唯一要求就是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。

IDS的接入方式：并行接入(并聯(lián))
IDS在交換式網(wǎng)絡(luò)中的位置一般選擇為：盡可能靠近攻擊源，盡可能靠近受保護(hù)資源。
這些位置通常是：

• 服務(wù)器區(qū)域的交換機上
• 邊界路由器的相鄰交換機上
• 重點保護(hù)網(wǎng)段的局域網(wǎng)交換機上

二、入侵檢測系統(tǒng)的作用和必然性

必然性：

• 網(wǎng)絡(luò)安全本身的復(fù)雜性，被動式的防御方式顯得力不從心
• 有關(guān)防火墻：網(wǎng)絡(luò)邊界的設(shè)備；自身可以被攻破；對某些攻擊保護(hù)很弱；并非所有威脅均來自防火墻外部
• 入侵很容易：入侵教程隨處可見；各種工具唾手可得

作用：

• 防火墻的重要補充
• 構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)
• 克服傳統(tǒng)防御機制的限制

三、入侵檢測系統(tǒng)功能

• 監(jiān)測并分析用戶和系統(tǒng)的活動
• 核查系統(tǒng)配置和漏洞
• 對操作系統(tǒng)進(jìn)行日志管理，并識別違反安全策略的用戶活動
• 針對已發(fā)現(xiàn)的攻擊行為作出適當(dāng)?shù)姆磻?yīng)，如告警、中止進(jìn)程等

四、入侵檢測系統(tǒng)的分類

按入侵檢測形態(tài)

• 硬件入侵檢測
• 軟件入侵檢測

按目標(biāo)系統(tǒng)的類型

• 網(wǎng)絡(luò)入侵檢測
• 主機入侵檢測
• 混合型

按系統(tǒng)結(jié)構(gòu)

• 集中式
• 分布式

五、入侵檢測系統(tǒng)的架構(gòu)

• 事件產(chǎn)生器：它的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。
• 事件分析器：分析數(shù)據(jù)，發(fā)現(xiàn)危險、異常事件，通知響應(yīng)單元
• 響應(yīng)單元：對分析結(jié)果作出反應(yīng)
• 事件數(shù)據(jù)庫：存放各種中間和最終數(shù)據(jù)
  

六、入侵檢測工作過程

七、入侵檢測性能關(guān)鍵參數(shù)

• 誤報(false positive)：實際無害的事件卻被IDS檢測為攻擊事件。
• 漏報(false negative)：一個攻擊事件未被IDS檢測到或被分析人員認(rèn)為是無害的。

八、入侵檢測技術(shù)

1、誤用檢測技術(shù)
基于模式匹配原理。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。
前提：所有的入侵行為都有可被檢測到的特征。
指標(biāo)：誤報低、漏報高。
攻擊特征庫：當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。
特點：采用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。

• 建立入侵行為模型(攻擊特征)
• 假設(shè)可以識別和表示所有可能的特征
• 基于系統(tǒng)和基于用戶的誤用

優(yōu)點

• 準(zhǔn)確率高
• 算法簡單

關(guān)鍵問題

• 要識別所有的攻擊特征，就要建立完備的特征庫
• 特征庫要不斷更新
• 無法檢測新的入侵

2、異常檢測技術(shù)
基于統(tǒng)計分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。
前提：入侵是異?；顒拥淖蛹?。指標(biāo)：漏報率低，誤報率高。
用戶輪廓(Profile)：通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍。
特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；不需要對每種入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源

• 設(shè)定“正?！钡男袨槟Ｊ?
• 假設(shè)所有的入侵行為是異常的
• 基于系統(tǒng)和基于用戶的異常

優(yōu)點

• 可檢測未知攻擊
• 自適應(yīng)、自學(xué)習(xí)能力

關(guān)鍵問題

• “正常”行為特征的選擇
• 統(tǒng)計算法、統(tǒng)計點的選擇

九、入侵響應(yīng)技術(shù)

主動響應(yīng)： 入侵檢測系統(tǒng)在檢測到入侵后能夠阻斷攻擊、影響進(jìn)而改變攻擊的進(jìn)程。

形式：

• 由用戶驅(qū)動
• 系統(tǒng)本身自動執(zhí)行

基本手段：

• 對入侵者采取反擊行動（嚴(yán)厲方式；溫和方式；介于嚴(yán)厲和溫和之間的方式）
• 修正系統(tǒng)環(huán)境
• 收集額外信息

被動響應(yīng)： 入侵檢測系統(tǒng)僅僅簡單地報告和記錄所檢測出的問題。

形式：只向用戶提供信息而依靠用戶去采取下一步行動的響應(yīng)。

基本手段：

• 告警和通知
• SNMP（簡單網(wǎng)絡(luò)管理協(xié)議），結(jié)合網(wǎng)絡(luò)管理工具使用。

十、IDS的部署

• 基于網(wǎng)絡(luò)的IDS
  
• 基于主機的IDS
  

十一、入侵檢測體系結(jié)構(gòu)（主機入侵檢測、網(wǎng)絡(luò)入侵檢測和分布式入侵檢測的特點、優(yōu)缺點）

[ HIDS和NIDS的區(qū)別]

• 主機入侵檢測（HIDS）

  特點：對針對主機或服務(wù)器系統(tǒng)的入侵行為進(jìn)行檢測和響應(yīng)。
  主要優(yōu)點：

  • 性價比高
  • 更加細(xì)膩
  • 誤報率較低
  • 適用于加密和交換的環(huán)境
  • 對網(wǎng)絡(luò)流量不敏感
  • 確定攻擊是否成功

  局限性：

  • 它依賴于主機固有的日志與監(jiān)視能力，而主機審計信息存在弱點：易受攻擊，入侵者可設(shè)法逃避審計
  • IDS的運行或多或少影響主機的性能
  • HIDS只能對主機的特定用戶、應(yīng)用程序執(zhí)行動作和日志進(jìn)行檢測，所能檢測到的攻擊類型受到限制
  • 全面部署HIDS代價較大

• 網(wǎng)絡(luò)入侵檢測（NIDS）

  特點：利用工作在混雜模式下的網(wǎng)卡來實時監(jiān)聽整個網(wǎng)段上的通信業(yè)務(wù)。
  主要優(yōu)點：

  • 隱蔽性好
  • 實時檢測和響應(yīng)
  • 攻擊者不易轉(zhuǎn)移證據(jù)
  • 不影響業(yè)務(wù)系統(tǒng)
  • 能夠檢測未成功的攻擊企圖

  局限性：

  • 只檢測直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包
  • 交換以太網(wǎng)環(huán)境中會出現(xiàn)檢測范圍局限
  • 很難實現(xiàn)一些復(fù)雜的、需要大量計算與分析時間的攻擊檢測
  • 處理加密的會話過程比較困難

• 分布式入侵檢測（DIDS）

  一般由多個協(xié)同工作的部件組成，分布在網(wǎng)絡(luò)的各個部分，完成相應(yīng)的功能，分別進(jìn)行數(shù)據(jù)采集、數(shù)據(jù)分析等。通過中心的控制部件進(jìn)行數(shù)據(jù)匯總、分析、對入侵行為進(jìn)行響應(yīng)。

• 網(wǎng)絡(luò)入侵和主機入侵對比圖：

  項目	HIDS	NIDS
  誤報	少	一定量
  漏報	與技術(shù)水平相關(guān)	與數(shù)據(jù)處理能力有關(guān)（不可避免）
  系統(tǒng)部署與維護(hù)	與網(wǎng)絡(luò)拓?fù)錈o關(guān)	與網(wǎng)絡(luò)拓?fù)湎嚓P(guān)
  檢測規(guī)則	少量	大量
  檢測特征	事件與信號分析	特征代碼分析
  安全策略	基本安全策略（點策略）	運行安全策略（線策略）
  安全局限	到達(dá)主機的所有事件	傳輸中的非加密、非保密信息
  安全隱患	違規(guī)事件	攻擊方法或手段

九、入侵檢測系統(tǒng)的局限性

• 對用戶知識要求較高，配置、操作和管理使用較為復(fù)雜
• 網(wǎng)絡(luò)發(fā)展迅速，對入侵檢測系統(tǒng)的處理性能要求越來越高，現(xiàn)有技術(shù)難以滿足實際需要
• 高虛警率，用戶處理的負(fù)擔(dān)重
• 由于警告信息記錄的不完整，許多警告信息可能無法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果
• 在應(yīng)對對自身的攻擊時，對其他數(shù)據(jù)的檢測也可能會被抑制或受到影響

十、開源入侵檢測系統(tǒng)